L'unité 42, l'équipe d'analyse des logiciels malveillants de Palo Alto Networks, a publié un rapport détaillant le groupe de rançongiciels Black Basta, qui est apparu pour la première fois en avril 2022 et n'a cessé d'augmenter depuis.
Depuis l'émergence des rançongiciels, les membres du groupe ont été très actifs dans la distribution et l'extorsion des entreprises. Les attaquants gèrent une place de marché et un blog sur la cybercriminalité où le groupe répertorie les noms, les descriptions, le pourcentage de publication, le nombre de visites et toutes les données exfiltrées de leurs victimes.
Black Basta gère sa propre page de fuite
Bien que les membres ne soient actifs que depuis quelques mois, selon les informations publiées sur leur site de fuite, ils ont déjà compromis plus de 75 entreprises et institutions. Parmi les autres conclusions clés de l'enquête de Palo Alto Networks, citons :
- · Le RaaS utilise la double extorsion dans le cadre des attaques.
- Les données d'au moins 20 victimes ont été publiées sur le site de fuite au cours des deux premières semaines de déploiement du rançongiciel.
- · Le groupe aurait ciblé plusieurs grandes entreprises dans les secteurs des produits de consommation et industriels, de l'énergie, des ressources et de l'agriculture, de la fabrication, des services publics, des transports, des agences gouvernementales, des services professionnels et du conseil, et de l'immobilier.
Black Basta - un résumé
Black Basta est un ransomware en tant que service (RaaS) qui est apparu pour la première fois en avril 2022. Cependant, il est prouvé qu'il est en développement depuis février. Les opérateurs de Black Basta utilisent une technique de double extorsion. Non seulement ils chiffrent les fichiers sur les systèmes cibles et exigent des rançons pour le déchiffrement, mais ils maintiennent également un site de fuite sur le dark web où ils menacent de divulguer des informations sensibles si une victime ne paie pas la rançon. Les partenaires de Black Basta ont été très actifs dans la distribution de Black Basta et l'extorsion d'entreprise depuis l'apparition du rançongiciel. Bien qu'ils ne soient actifs que depuis quelques mois, selon les informations publiées sur leur site de fuite, ils ont déjà infecté plus de 75 entreprises et institutions au moment de cette publication. L'unité 42 a également travaillé sur plusieurs cas de Black Basta.
Black Basta ne crypte que des parties de fichiers
Le rançongiciel est écrit en C++ et affecte à la fois les systèmes d'exploitation Windows et Linux. Il crypte les données des utilisateurs avec une combinaison de ChaCha20 et RSA-4096. Pour accélérer le processus de cryptage, le ransomware crypte en morceaux de 64 octets, laissant 128 octets de données non cryptés entre les sections cryptées. Plus le rançongiciel se chiffre rapidement, plus les systèmes peuvent potentiellement être compromis avant que les défenses n'interviennent. Il s'agit d'un facteur crucial que les partenaires recherchent lorsqu'ils rejoignent un groupe de rançongiciels en tant que service.
QBot sert de point d'entrée
L'unité 42 de Palo Alto Networks a observé que le groupe de rançongiciels Black Basta utilise QBot comme premier point d'entrée pour se déplacer latéralement sur les réseaux compromis. QBot, également connu sous le nom de Qakbot, est une souche de logiciels malveillants Windows qui a commencé comme un cheval de Troie bancaire et a évolué pour devenir un compte-gouttes de logiciels malveillants. Il a également été utilisé par d'autres groupes de rançongiciels, notamment MegaCortex, ProLock, DoppelPaymer et Egregor. Alors que ces groupes de rançongiciels utilisaient QBot pour l'accès initial, le groupe Black Basta a été observé en utilisant QBot à la fois pour l'accès initial et la distribution sur le réseau secondaire.
D'autres attaques suivront
Étant donné que les attaques de Black Basta en 2022 ont fait sensation dans le monde entier et sont récurrentes, il est probable que les opérateurs et/ou leurs partenaires affiliés à l'origine du service continueront de cibler et d'extorquer des entreprises. Il est également possible qu'il ne s'agisse pas d'une nouvelle opération, mais plutôt d'un redémarrage d'un ancien groupe de rançongiciels qui a amené ses partenaires avec lui. En raison de nombreuses similitudes dans les tactiques, les techniques et les procédures - telles que les blogs honteux pour les victimes, les portails de récupération, les tactiques de négociation et la rapidité avec laquelle Black Basta a rassemblé ses victimes - le groupe pourrait inclure des membres actuels ou anciens du groupe Conti. Plus d'informations sur cette analyse, qui fait suite à d'autres études récentes sur les rançongiciels telles que Blue Sky et Cuba, sont disponibles en ligne sur Unit42 de PaloAltoNetworks.
Plus PaloAltoNetworks.com
À propos des réseaux de Palo Alto Palo Alto Networks, le leader mondial des solutions de cybersécurité, façonne l'avenir basé sur le cloud avec des technologies qui transforment la façon dont les gens et les entreprises travaillent. Notre mission est d'être le partenaire privilégié en matière de cybersécurité et de protéger notre mode de vie numérique. Nous vous aidons à relever les plus grands défis de sécurité au monde grâce à une innovation continue tirant parti des dernières avancées en matière d'intelligence artificielle, d'analyse, d'automatisation et d'orchestration. En fournissant une plate-forme intégrée et en renforçant un écosystème croissant de partenaires, nous sommes les leaders dans la protection de dizaines de milliers d'entreprises sur les clouds, les réseaux et les appareils mobiles. Notre vision est un monde où chaque jour est plus sûr que le précédent.