Sophos pour la propagation d’un tel malware relativement nouveau appelle le l’attention des utilisateurs, dont la particularité est qu’il peut également infecter les ordinateurs protégés par des pare-feux. Le rançongiciel BlackCat utilise des pare-feu et des services VPN non corrigés ou obsolètes pour pénétrer les réseaux et systèmes vulnérables dans le monde entier.
Le ransomware BlackCat a été remarqué pour la première fois par les chercheurs en sécurité en novembre 2021, car il est alors apparu comme un produit ransomware-as-a-service sur le dark web. Dès décembre 2021, les organisations ciblées par le malware ont demandé à l’équipe Sophos Rapid Response d’enquêter sur au moins 5 attaques attribuées à BlackCat.
L’intrus est entré par le pare-feu
Dans 4 des 5 incidents, il a été constaté que l’infection initiale s’était produite en exploitant les vulnérabilités de divers pare-feu, et que le logiciel malveillant avait pu accéder au réseau interne de l’entreprise par ce biais. L’une des vulnérabilités exploitées date de 2018, tandis qu’une autre est relativement récente : elle n’a été connue des chercheurs que l’année dernière.
Une fois que les attaquants ont réussi à pénétrer dans les machines via le pare-feu, ils ont également pu obtenir les informations d’identification VPN qui y étaient stockées, et en les utilisant, ils ont maintenant obtenu un accès complet et apparemment légitime au réseau via VPN ou protocole de bureau à distance (RDP, “protocole de bureau à distance”) avec des identifiants.
Plusieurs outils ont été utilisés
Au cours des incidents, les attaquants ont utilisé à la fois des outils open source et commerciaux pour créer des portes dérobées supplémentaires et des canaux d’accès alternatifs aux systèmes ciblés. Ceux-ci comprenaient par exemple :
- TeamViewer,
- Grok,
- Frappe de cobalt,
- Brute Ratel.
Les experts Sophos ont mis en place un gestionnaire d’incidents nGrok guidequi aide les équipes de sécurité à empêcher les attaquants d’abuser des appareils nGrok sur leurs réseaux.