Sophos X-Ops présente les derniers résultats de Threat Intelligence. Le gang de rançongiciels BlackCat utilise l'outil de pentesting Brute Ratel comme nouvel outil d'attaque. La série d'attaques montre comment les cybercriminels infectent les ordinateurs du monde entier via des pare-feu et des services VPN non corrigés.
Sophos X-Ops révèle dans le nouveau rapport BlackCat Ransomware Attacks Not Merely a Byproduct of Bad Luck que le gang de ransomwares a ajouté l'outil de pentesting Brute Ratel à son arsenal d'outils d'attaque. L'article décrit une série d'attaques de rançongiciels dans lesquelles BlackCat a utilisé des pare-feu et des services VPN non corrigés ou obsolètes pour pénétrer les réseaux et systèmes vulnérables dans diverses industries du monde entier.
BlackCat avec ransomware en tant que service
Le ransomware BlackCat est apparu pour la première fois en novembre 2021 en tant que "leader" autoproclamé dans l'espace des ransomwares en tant que service et a rapidement attiré l'attention pour son langage de programmation Rust inhabituel. Dès décembre 2021, les entreprises concernées ont contacté Sophos Rapid Response pour faire enquêter sur au moins cinq attaques avec BlackCat. Quatre de ces incidents ont été initialement infectés par l'exploitation des vulnérabilités des produits de divers fournisseurs de pare-feu. L'une de ces vulnérabilités remonte à 2018, une autre a été découverte l'année dernière. Une fois à l'intérieur du réseau, les cybercriminels ont pu obtenir les informations d'identification VPN stockées sur ces pare-feu. Cela leur a permis de se connecter en tant qu'utilisateurs autorisés, puis de se faufiler dans les systèmes à l'aide du protocole RDP (Remote Desktop Protocol).
Comme lors des incidents précédents de BlackCat, les attaquants ont également utilisé des outils open source et disponibles dans le commerce pour créer des portes dérobées supplémentaires et des moyens alternatifs d'accéder à distance aux systèmes ciblés. Ceux-ci comprenaient TeamViewer, nGrok, Cobalt Strike et Brute Ratel.
Cadre C2 post-exploitation Brute Ratel
"Lors des récentes attaques BlackCat et d'autres attaques, nous avons vu des acteurs de la menace travailler de manière très efficace et efficiente. Ils utilisent les meilleures pratiques telles que les attaques contre les pare-feux et les VPN vulnérables. Mais ils ont également été très innovants pour contourner les mesures de sécurité et ont transféré leurs attaques vers le nouveau framework C2 post-exploitation Brute Ratel », explique Christopher Budd, senior manager, recherche sur les menaces chez Sophos.
Attaques sans schéma clair
Cependant, aucun schéma clair n'a pu être observé dans les attaques. Ils ont eu lieu aux États-Unis, en Europe et en Asie dans de grandes entreprises opérant dans divers segments de l'industrie. Cependant, les entreprises attaquées présentaient certaines vulnérabilités dans leur environnement qui facilitaient le travail des attaquants. Ceux-ci comprenaient des systèmes obsolètes qui ne pouvaient plus être mis à jour avec les derniers correctifs de sécurité, le manque d'authentification multifacteur pour les VPN et les réseaux plats (réseau de nœuds pairs)
"Le dénominateur commun de toutes ces attaques est qu'elles étaient faciles à exécuter", a déclaré Budd. « Dans un cas, les mêmes attaquants BlackCat ont installé des cryptomineurs un mois avant le lancement du rançongiciel. Nos recherches récentes soulignent l'importance de suivre les meilleures pratiques de sécurité. Vous pouvez toujours prévenir et contrecarrer les attaques, même plusieurs attaques sur un même réseau. »
Plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.