BlackCat ransomware, également connu sous le nom d’ALPHV est un malware qui crypte les fichiers sur l’ordinateur de sa victime, les rendant inaccessibles jusqu’à ce qu’une rançon soit payée.
Le ransomware BlackCat a acquis une notoriété dans le paysage de la cybersécurité pour ses techniques de cryptage avancées et sa capacité à échapper à la détection par les mesures de sécurité traditionnelles. Il est également connu comme l’un des premiers malwares écrit dans le langage de programmation dénommé « Rust ». C’est un programme multiplateforme réputé pour ses performances exceptionnelles. Il suscite un réel intérêt chez les développeurs de logiciels malveillants tels que ceux de BlackCat, qui cherchent généralement à élargir leur public cible avec relativement peu d’efforts. Son usage permet de personnaliser les attaques en fonction des différents environnements des victimes. Aussi, peu de solutions de sécurité sont pour l’instant capables d’analyser Rust.
Comment BlackCat Ransomware est-il distribué par les cybercriminels ?
Le ransomware BlackCat, comme beaucoup d’autres programmes malveillants, se propage principalement par la distribution d’e-mails de phishing. Ce sont des e-mails qui contiennent des pièces jointes ou des liens malveillants qui, lorsqu’ils sont cliqués ou ouverts, lancent le téléchargement et l’installation du ransomware BlackCat sur le système d’information de la victime.
BlackCat peut également être distribué via des kits d’exploitation, qui tirent parti des vulnérabilités dans les logiciels ou plugins obsolètes pour installer le malware.
Plus récemment dans son rapport semestriel dédié à l’évolution de la menace ransomware, les analystes et chercheurs CTI de Sekoia.io ont observé l’usage de nouveaux TTPs (Techniques, tactiques et procédures) par BlackCat ransomware. Parmi ceux-ci figurent le malvertising ou publicité malveillante. Il s’agit d’une technique d’infection utilisée jusqu’ici par les infostealers et d’autres ransomware tels que Royal, Magniber et Revil…
L’objectif à travers le malvertising consiste ici à promouvoir via Google/bing ads, un site Web compromis mais présentant les mêmes caractéristiques qu’une page légitime dédiée au téléchargement d’un outil ou logiciel.
Étant donné que les annonces sponsorisées sont affichées au-dessus des résultats de recherche sur un moteur de recherche, les acteurs de la menace détournent cette fonctionnalité pour : faire apparaître leurs sites web compromis avant les sites légitimes dans les résultats et augmenter le nombre de victimes potentielles pour un coût abordable.
Comme le rappellent les analystes CTI de Sekoia.io, l’utilisation d’annonces malveillantes sur les moteurs de recherche permet aux acteurs de la menace comme BlackCat de cibler des pays ou des régions spécifiques.
Pour en savoir sur ces modes d’infection et découvrir l’actualité d’autres acteurs de la menace ransomware, vous pouvez consulter cet article : https://blog.sekoia.io/sekoia-io-mid-2023-ransomware-threat-landscape/
Si vous souhaitez également découvrir la manière dont nous permettons aux usagers de notre plateforme XDR, d’anticiper la présence des menaces informatiques avant impact, vous pouvez visionner cette démo interactive :
