14/12/2024
Mode opératoire de BlackCat

Qu’est-ce que le ransomware BlackCat en crypto ?


La montée des attaques de crypto-ransomwares

Les attaques de ransomware continuent de sévir dans le monde des cryptomonnaies, et l’un des acteurs les plus notables est le groupe BlackCat.

Les attaques de ransomware ciblant les cryptomonnaies se sont généralisées. La crypto, étant anonyme et décentralisée, attire les cybercriminels. Ils privilégient de plus en plus l’anonymat relatif de la cryptographie et la facilité des transferts transfrontaliers.

Les groupes de ransomwares, dont BlackCat, exploitent ces fonctionnalités en exigeant des paiements en crypto, ce qui rend plus difficile pour les autorités de retrouver et de récupérer les fonds volés. La fréquence et la gravité des attaques ont considérablement augmenté en 2024.

Le rapport de Chainalysis sur la cybercriminalité en matière de crypto-monnaie l’a souligné croissance s’orienter:

  • 1,9 milliard de dollars de paiements de ransomware enregistrés en 2024 au milieu de l’année, soit une augmentation de 80 % par rapport à l’année précédente.
  • La demande moyenne de rançon a augmenté de 30 % en 2024, atteignant près de 6 millions de dollars par attaque.

Il n’y avait pas que des sociétés comme MGM Resorts ou UnitedHealth victimes de demandes de rançon de millions de dollars en Bitcoin et autres crypto-monnaies. Même les investisseurs individuels sont visés. Les cybercriminels utilisent des tactiques de plus en plus sophistiquées, comme la double extorsion, où les pirates cryptent les données et menacent de divulguer des informations sensibles à moins qu’un paiement supplémentaire ne soit effectué.

Comment l’industrie de la cryptographie peut-elle lutter contre ces attaques sophistiquées ? Plongez dans les attaques de crypto-ransomware de BlackCat, voyez comment le groupe fonctionne et découvrez ce qui peut être fait pour se protéger contre ces menaces croissantes de la blockchain.

Explication de l’attaque du ransomware BlackCat

Le ransomware BlackCat, également connu sous le nom de ransomware Noberus ou ALPHV, est un type de malware créé par un groupe de cybercriminels russophones.

BlackCat est un groupe de ransomware-as-a-service (RaaS) très sophistiqué qui a fait à plusieurs reprises la une des journaux pour ses attaques dévastatrices dans le monde des cryptomonnaies. Le groupe est apparu pour la première fois en novembre 2021 et a depuis ciblé des centaines d’organisations dans le monde, notamment Reddit en 2023 et Change Healthcare en 2024.

BlackCat fonctionne selon un mode opératoire défini : infiltrer les systèmes, chiffrer les données et exiger de lourdes rançons payées en crypto pour restaurer l’accès. Ce qui distingue BlackCat des autres ransomwares, c’est sa structure de codage avancée et ses méthodes d’attaque personnalisables, qui sont souvent adaptées aux vulnérabilités de chaque cible, ce qui le rend très efficace.

À ses débuts, BlackCat a été conçu pour prendre en charge une large gamme de systèmes d’exploitation, de Windows à Linux, en utilisant le rare langage de programmation Rust, qui permet une grande flexibilité et une grande rapidité de cryptage.

En 2024, BlackCat a intensifié ses efforts, exploitant les faiblesses des infrastructures d’entreprise et des plateformes de cryptographie. Les attaques suivent souvent un modèle de double extorsion, dans lequel non seulement les données sont cryptées, mais des informations sensibles sont également volées et suivies de menaces de fuite à moins qu’un paiement supplémentaire ne soit effectué. Cette tactique donne au groupe un immense levier sur ses victimes.

Ce qui rend BlackCat encore plus effrayant, c’est la façon dont fonctionne le modèle. Ils ont un modèle d’affiliation décentralisé, ce qui signifie qu’ils recrutent des pirates informatiques dans le monde entier qui peuvent synchroniser et mener des attaques en leur nom, chacun avec des charges utiles personnalisables. Bref, BlackCat sait trouver les vulnérabilités et frapper là où ça fait mal.

Saviez-vous? Le Département d’État américain offre une récompense pouvant atteindre 10 millions de dollars pour toute information permettant d’identifier ou de localiser des personnes occupant des postes de direction clés au sein du groupe à l’origine des attaques du ransomware BlackCat.

Comment fonctionne le rançongiciel BlackCat

Le ransomware BlackCat est connu pour son approche méticuleuse et calculée de la cybercriminalité, ce qui en fait une menace redoutable dans le paysage numérique.

Voici un aperçu du fonctionnement du ransomware BlackCat :

  • Accès initial : BlackCat infiltre généralement les systèmes via des e-mails de phishing, des informations d’identification volées ou en exploitant des vulnérabilités non corrigées.
  • Établir la persistance : Les attaquants installent des portes dérobées pour maintenir l’accès et récolter les informations d’identification pour les mouvements latéraux au sein du réseau.
  • Cryptage des données : À l’aide du langage de programmation Rust, BlackCat crypte les fichiers importants, les rendant inutilisables sans la clé de décryptage.
  • Double extorsion : Les attaquants volent les données avant de les chiffrer, menaçant de les divulguer si la rançon n’est pas payée.
  • Demandes de rançon : Des paiements en cryptomonnaies comme Bitcoin (BTC) ou Monero (XMR), équivalant à des millions de dollars, sont exigés, garantissant l’anonymat de l’attaquant.
  • Attaques personnalisables : Les affiliés peuvent adapter le ransomware à des victimes spécifiques, en ciblant les plates-formes Windows ou Linux avec des techniques avancées pour éviter la détection.

Les victimes sont tenues de payer des rançons en crypto-monnaie, ce qui permet l’anonymat et rend presque impossible aux autorités de suivre ou de récupérer les fonds. L’impact de BlackCat sur l’espace cryptographique rappelle l’importance de sécuriser les actifs et les infrastructures numériques contre ces cybermenaces en constante évolution.

Saviez-vous? L’utilisation par BlackCat du langage de programmation Rust lui donne la flexibilité de cibler à la fois les systèmes Windows et Linux, ce qui le rend plus adaptable que les autres ransomwares.

Modèle d’affiliation BlackCat

Les affiliés sont des pirates informatiques indépendants qui s’associent au groupe BlackCat, tirant parti de son modèle et de ses outils RaaS sophistiqués.

Les opérations de BlackCat prospèrent sur un modèle d’affiliation, où plusieurs acteurs contribuent à sa large portée. Voici comment cela fonctionne :

  • Programme d’affiliation : Les cybercriminels s’inscrivent au programme de BlackCat pour accéder et distribuer les charges utiles des ransomwares.
  • Modèle de participation aux bénéfices : Les affiliés gagnent une part importante de toute rançon qu’ils collectent, tandis qu’une part est envoyée aux développeurs de BlackCat.
  • Tactiques de double extorsion : Les affiliés utilisent souvent une approche à deux volets en chiffrant les données et en menaçant de les divulguer à moins que la rançon ne soit payée.
  • Charges utiles personnalisables : BlackCat offre aux affiliés la possibilité de personnaliser les ransomwares pour des cibles spécifiques, ce qui rend les attaques plus difficiles à défendre.
  • Paiements en crypto-monnaie : Les affiliés exigent des rançons en crypto, ce qui garantit l’anonymat et rend le traçage des paiements extrêmement difficile.

Ce modèle d’affiliation a permis à BlackCat d’évoluer rapidement et d’attaquer une variété de cibles de grande valeur dans différents secteurs.

Attaques institutionnelles du rançongiciel BlackCat

Le groupe BlackCat a réussi à cibler des organisations de premier plan, entraînant des impacts opérationnels et financiers importants.

Vous trouverez ci-dessous quelques études de cas notables qui illustrent la portée et la gravité des attaques institutionnelles de BlackCat :

  • Groupe pétrolier et attaque de Mabanaft : BlackCat a frappé OilTanking Group et Mabanaft début 2022. L’attaque a fermé leurs systèmes de stockage et de distribution de carburant, perturbant considérablement les chaînes d’approvisionnement en Allemagne. Les pirates ont exigé une rançon substantielle pour libérer les systèmes cryptés, bien que le montant exact n’ait pas été largement divulgué (avec un délai de 5 à 7 jours). attribué pour acheter de la crypto-monnaie Bitcoin ou Monero pour effectuer des paiements de rançon). Aucune arrestation n’a été signalée en lien avec cette attaque. ​
  • MGM Resorts et Caesars Entertainment : En septembre 2023, BlackCat a été impliqué dans une attaque de ransomware très médiatisée contre MGM Resorts International et Caesars Entertainment. Les enjeux étaient élevés : Caesars a d’abord fait face à une demande de 30 millions de dollars en Bitcoin, mais a réussi à négocier jusqu’à 15 millions de dollars. MGM Resorts a cependant refusé de payer la rançon, ce qui a entraîné des arrêts opérationnels de plusieurs semaines et une perte financière de 100 millions de dollars pour le trimestre. Cette attaque a été exécutée par Scattered Spider, une filiale de BlackCat, un groupe de hackers américains et britanniques.
  • Changer les soins de santé : Début 2024, BlackCat a attaqué Change Healthcare, une filiale du groupe UnitedHealth, entraînant le vol de données sensibles sur les patients et des perturbations opérationnelles. Pour récupérer ses systèmes, Change Healthcare aurait payé une rançon de 22 millions de dollars en Bitcoin. Cet événement a mis en évidence le risque croissant d’attaques de ransomwares dans le secteur de la santé et la position précaire dans laquelle se trouvent les entreprises face à ces cybercriminels.

Protégez-vous contre le rançongiciel BlackCat

Comprendre les causes profondes et le fonctionnement des ransomwares est la première étape vers une protection contre eux.

Causes profondes des attaques de Ransomware

Pour vous protéger contre le ransomware BlackCat, il est essentiel d’éviter les erreurs et de prendre des mesures de protection, notamment :

  • Sauvegardez régulièrement vos données : Les sauvegardes fréquentes et cryptées stockées hors ligne peuvent constituer une bouée de sauvetage si vos fichiers sont cryptés.
  • Établir des protocoles de cybersécurité solides : Assurez-vous que l’équipe de cybersécurité de l’organisation effectue régulièrement des évaluations de vulnérabilité et applique des protocoles de sécurité tels que l’authentification multifacteur et la surveillance du réseau.
  • Formation des employés : L’équipe doit également proposer une formation aux employés pour s’assurer que chacun comprend et respecte les meilleures pratiques de sécurité sur les canaux et plateformes de travail officiels.
  • Installez un logiciel antivirus : Un système antivirus robuste peut aider à détecter et à arrêter les logiciels malveillants avant qu’ils ne chiffrent vos fichiers.
  • Attention aux tentatives de phishing : Soyez actif en repérant et en évitant les e-mails de phishing susceptibles de contenir des charges utiles de ransomware.
  • Utiliser des systèmes de gestion de mots de passe : L’application de mises à jour régulières des mots de passe peut empêcher les cybercriminels d’accéder aux comptes.
  • Segmentez votre réseau : Isoler certaines parties de votre réseau peut limiter la propagation des ransomwares.

Malgré la répression des forces de l’ordre internationales, BlackCat reste une menace importante en 2024. Par conséquent, les utilisateurs de cryptomonnaie doivent rester vigilants, renforcer leurs mesures de cybersécurité et se tenir informés de l’évolution des menaces de ransomware.



Source

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Please enter CoinGecko Free Api Key to get this plugin works.