Que sait-on du ransomware BlackCat ?

C’est tout début décembre que le collectif MalwareHunterTeam et Recorded Future ont découvert le ransomware BlackCat. Les équipes du second ont relevé des annonces de recrutement d’affidés sur deux forums régulièrement fréquentés par les cyberdélinquants. Publiées par un acteur au pseudonyme Alphv, elles en appelaient aux spécialistes de l’intrusion compétents sur les systèmes Windows et Linux, ainsi que sur les environnements virtualisés VMware ESXi. BlackCat constitue une nouvelle franchise de ransomware en mode service (RaaS) pratiquant la double extorsion : les données volées dans le système d’information des victimes résistant au chantage seront divulguées.

Les équipes de Symantec se sont penchées sur une attaque ayant impliqué ce nouveau ransomware. Dans un billet de blog, elles expliquent que les premières activités suspectes ont pu être observées le 3 novembre, « approximativement deux semaines avant » que celui qu’elles appellent Noberus n’ait été déployé. Les assaillants ont notamment exploité ConnectWise pour accéder à distance à l’environnement de leur victime, ainsi que PsExec pour différentes activités.

Le ransomware BlackCat a déjà marqué les esprits par une originalité : il est écrit avec le langage Rust ; un fait rarissime. Pour l’expert Michael Gillepsie, il est globalement « très sophistiqué ».

Chez AdvIntel, Yelisey Boguslavskiy explique que les opérateurs de la nouvelle franchise « affirment être d’anciens affiliés de Revil et Darkside. Ils font tout manuellement, sur l’ensemble de la cinétique d’attaque, depuis le spam initial jusqu’au chiffrement. De la sorte, ils peuvent faire d’importants dégâts ».

Le ransomware lui-même fonctionne en ligne de commande et utilise un fichier JSON pour sa configuration. Et celle-ci supporte un niveau élevé de personnalisation, à l’inverse, par exemple, d’un rançongiciel tel que Hive. Comme le relevaient l’an dernier nos confrères de Bleeping Computer, le chiffrement peut être complet, ou centré sur les premiers méga-octets des fichiers, voire « en pointillés » ; le ransomware peut déterminer automatiquement la meilleure option suivant la taille des fichiers et leur type.

Mais des questions se posaient sur la capacité de la franchise à s’inscrire dans la durée : « le service de gestion des affidés est très léger. Ils disposent d’une interface permettant une coordination de base, mais le reste de leur modèle est le RaaS traditionnel. Ce qui signifie que les affidés font tout, tout seuls ».

Pour Yelisey Boguslavskiy, cela suggérait, fin décembre 2021, que « les affidés vont privilégier les cibles petites et faciles et en retirer une rançon minimum, voire ne pas en obtenir ». Celle-ci peut être payée en bitcoin ou en monero, avec un surcoût de 15 % pour le premier ».

Autre bémol, pour l’expert d’AdvIntel, les opérateurs de la franchise « n’ont ni la réputation ni les contacts avec les fournisseurs d’accès », les fameux courtiers en accès initial (IAB, Initial Access Broker), « ce qui constitue le point n° 1 avec les ransomwares aujourd’hui ». Du coup, selon Yelisey Boguslavskiy, Alphv risque « de rester sans accès pour lancer des attaques, à moins de trouver un moyen de les initier eux-mêmes ».

Pour autant, le 22 décembre 2021, le collectif MalwareHunterTeam estimait que BlackCat gagnait assez rapidement en popularité, « sur la base du nombre d’échantillons et de soumissions d’équipes de détection et de réponse à incident ».

L’attaque conduite fin janvier contre Oiltanking et Mabanaft, outre-Rhin, deux filiales du groupe Marquard & Bahls, a été attribuée à Alphv, selon nos confrères du Handelsblatt. Selon Varonis, les opérateurs de cette franchise malveillante « recrutent activement des anciens de REvil, BlackMatter et DarkSide ». Le groupe était clairement soupçonné de n’être qu’une émanation des défunts DarkSide/BlackMatter – ce qu’il a confirmé. Mais il assure recruter au-delà, jusqu’auprès d’anciens de Maze/Egregor et LockBit, notamment.