Rançongiciel Blackcat

Les chercheurs en cybersécurité ont découvert d’autres liens entre les familles de rançongiciels BlackCat (alias AlphaV) et BlackMatter, dont le premier a émergé en remplacement après un examen international l’année dernière.

« Au moins certains membres du nouveau groupe BlackCat ont des liens vers le groupe BlackMatter, car ils ont modifié et réutilisé un outil d’exfiltration personnalisé […] et qui n’a été observé que dans l’activité de BlackMatter », ont déclaré les chercheurs de Kaspersky mentionné dans une nouvelle analyse.

L’outil, baptisé Fendr, a non seulement été mis à niveau pour inclure davantage de types de fichiers, mais a également été largement utilisé par le gang pour voler des données sur les réseaux d’entreprise en décembre 2021 et janvier 2022 avant le cryptage, dans une tactique populaire appelée double extorsion.

La Cyber-Sécurité

Les résultats surviennent moins d’un mois après que les chercheurs de Cisco Talos ont identifié des chevauchements dans les tactiques, techniques et procédures (TTP) entre BlackCat et BlackMatter, décrivant la nouvelle variante de ransomware comme un cas d' »expansion commerciale verticale ».

Rançongiciel Blackcat

BlackCat se démarque pour deux raisons : c’est un acteur affilié qui a déployé BlackMatter dans le passé et son malware est écrit en Rust, ce qui indique comment les acteurs de la menace se tournent de plus en plus vers des langages de programmation avec des capacités de compilation croisée.

Publicité

Le groupe « fournit une infrastructure, des échantillons de logiciels malveillants, des négociations de rançon et probablement des paiements », ont noté les chercheurs. « Quiconque a déjà accès à des environnements compromis peut utiliser les échantillons de BlackCat pour infecter une cible. »

La Cyber-Sécurité

Une fois exécuté, le logiciel malveillant obtient le système Windows GuidMachine du registre – une clé unique générée lors de l’installation du système d’exploitation – ainsi que son UUID, avant de passer au contournement du contrôle de compte d’utilisateur (UAC), supprimez les sauvegardes fantômes et démarrez le processus de chiffrement.

« Cette utilisation d’un Fendr modifié, également connu sous le nom d’ExMatter, représente un nouveau point de données reliant BlackCat à l’activité passée de BlackMatter », ont déclaré les chercheurs.

« La modification de cet outil réutilisé démontre un schéma de planification et de développement plus sophistiqué pour adapter les exigences aux environnements cibles, caractéristique d’une entreprise criminelle en pleine maturation. »


Rate this post
Publicité
Article précédentUne enquête sur les dossiers de la police montre qu’un tiers des incidents AirTag impliquent du harcèlement
Article suivantComment accélérer une vidéo sur iPhone/iPad (2022)
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici