ALPHV Blackcat
ALPHV, également connu sous le nom de BlackCat ou Noberus, est une souche de ransomware utilisée dans les opérations de Ransomware as a Service (RaaS).
L'origine de l'ALPHV BlackCat
Développé en utilisant le langage de programmation Rust, ALPHV peut fonctionner sur différents systèmes d'exploitation, notamment Windows, Linux (Debian, Ubuntu, ReadyNAS, Synology) et VMWare ESXi.
Il est commercialisé sous le nom d'ALPHV sur les forums de cybercriminalité, mais les chercheurs en sécurité le désignent souvent sous le nom de BlackCat, en référence à l'icône de chat noir affichée sur son site de fuite.
Depuis son premier déploiement observé dans des attaques de ransomware le 18 novembre 2021, ALPHV a fait preuve de polyvalence dans ses capacités de chiffrement, en prenant en charge les algorithmes AES et ChaCha20.
Pour assurer une interruption maximale, ALPHV peut éliminer les copies d'ombre de volume, mettre fin aux processus et aux services, et arrêter les machines virtuelles sur les serveurs ESXi.
En outre, il a la capacité de se propager sur les réseaux locaux en utilisant PsExec pour s'exécuter à distance sur d'autres hôtes.
L'ALPHV Blackcat a été démantelée par le FBI en décembre 2023.
Pays ciblés par ALPHV
L'ALPHV Blackcat a principalement ciblé les États-Unis, suivis de l'Allemagne et d'autres pays européens comme la France, l'Espagne et les Pays-Bas.
Industries ciblées par ALPHV
Les chercheurs ont examiné plus de 210 annonces liées au ransomware BlackCat et ont constaté que les secteurs des "services professionnels, scientifiques et techniques" et de la "fabrication" sont ses principales cibles, les cabinets d'avocats et les services juridiques étant les plus touchés au sein de l'industrie des services professionnels.
Source : SOCradar
ALPHV Victimes du Blackcat
731 victimes sont tombées dans les filets des opérations malveillantes d'ALPHV.
Méthode d'attaque du Blackcat ALPHV
ALPHV cible principalement les vulnérabilités des applications publiques et exploite probablement ces failles pour s'infiltrer dans les systèmes du réseau. Dans certains cas, il utilise également des comptes de domaine légitimes, qui peuvent avoir été obtenus à la suite de brèches antérieures ou de vols d'informations d'identification, pour s'implanter dans le réseau.
Une fois dans le réseau, ALPHV escalade ses privilèges en s'appuyant sur ces mêmes comptes de domaine valides, s'octroyant des niveaux d'accès plus élevés qui sont généralement réservés aux administrateurs. Cette escalade est essentielle pour renforcer son contrôle sur le système. En termes d'exécution, ALPHV utilise le Shell de commande Windows pour exécuter des commandes et des scripts malveillants, ce qui facilite le déploiement et la propagation du ransomware.
Pour échapper à la détection et entraver les réponses défensives, ALPHV désactive ou modifie activement les outils de sécurité susceptibles de détecter ou de bloquer ses activités, notamment en mettant fin aux programmes antivirus et en désactivant les services de sécurité, créant ainsi un environnement plus permissif pour ses opérations.
L'impact d'ALPHV sur les systèmes compromis est sévère ; il crypte les données critiques à l'aide d'algorithmes de cryptage robustes, ce qui rend les fichiers inaccessibles aux utilisateurs. En outre, il sape les efforts de récupération du système en supprimant les copies d'ombre et en désactivant les outils de récupération, ce qui exacerbe les perturbations causées et pousse les victimes à répondre aux demandes de rançon pour restaurer l'accès à leurs données.
ALPHV cible principalement les vulnérabilités des applications publiques et exploite probablement ces failles pour s'infiltrer dans les systèmes du réseau. Dans certains cas, il utilise également des comptes de domaine légitimes, qui peuvent avoir été obtenus à la suite de brèches antérieures ou de vols d'informations d'identification, pour s'implanter dans le réseau.
Une fois dans le réseau, ALPHV escalade ses privilèges en s'appuyant sur ces mêmes comptes de domaine valides, s'octroyant des niveaux d'accès plus élevés qui sont généralement réservés aux administrateurs. Cette escalade est essentielle pour renforcer son contrôle sur le système. En termes d'exécution, ALPHV utilise le Shell de commande Windows pour exécuter des commandes et des scripts malveillants, ce qui facilite le déploiement et la propagation du ransomware.
Pour échapper à la détection et entraver les réponses défensives, ALPHV désactive ou modifie activement les outils de sécurité susceptibles de détecter ou de bloquer ses activités, notamment en mettant fin aux programmes antivirus et en désactivant les services de sécurité, créant ainsi un environnement plus permissif pour ses opérations.
L'impact d'ALPHV sur les systèmes compromis est sévère ; il crypte les données critiques à l'aide d'algorithmes de cryptage robustes, ce qui rend les fichiers inaccessibles aux utilisateurs. En outre, il sape les efforts de récupération du système en supprimant les copies d'ombre et en désactivant les outils de récupération, ce qui exacerbe les perturbations causées et pousse les victimes à répondre aux demandes de rançon pour restaurer l'accès à leurs données.
TTP utilisés par l'ALPHV
Comment détecter l'ALPHV avec Vectra AI
Foire aux questions
Qu'est-ce que l'ALPHV BlackCat ?
ALPHV BlackCat, également connu sous le nom de Noberus, est une variante sophistiquée de ransomware écrite en Rust, utilisée dans les opérations de Ransomware as a Service (RaaS). Il est capable de cibler plusieurs systèmes d'exploitation, notamment Windows, Linux et VMWare ESXi.
Comment ALPHV BlackCat obtient-il l'accès initial à un réseau ?
ALPHV BlackCat obtient généralement un accès initial par le biais d'exploits dans des applications publiques ou en utilisant des comptes de domaine valides qui peuvent avoir été compromis.
Quelles sont les principales cibles de l'ALPHV BlackCat ?
ALPHV BlackCat cible principalement les industries telles que les services professionnels, scientifiques et techniques et l'industrie manufacturière, avec un accent particulier sur les cabinets d'avocats et les services juridiques au sein du secteur professionnel.
Quels sont les algorithmes de cryptage utilisés par ALPHV BlackCat ?
ALPHV BlackCat peut être configuré pour utiliser les algorithmes de cryptage AES ou ChaCha20 pour verrouiller les données de la victime.
Comment ALPHV BlackCat échappe-t-il à la détection ?
Le ransomware emploie diverses techniques pour échapper à la détection, notamment en désactivant les outils de sécurité et en modifiant les processus du système pour entraver les mesures défensives.
Que peuvent faire les organisations pour se protéger contre les attaques de l'ALPHV BlackCat ?
Les organisations doivent mettre en œuvre des mesures de sécurité robustes, notamment l'application régulière de correctifs, l'utilisation de la protection avancée endpoint , la formation des employés à la sensibilisation à la sécurité et le déploiement d'une plateforme de détection des menaces pilotée par l'IA, comme Vectra AI , afin de détecter les menaces et d'y répondre plus efficacement.
Quel est l'impact d'ALPHV BlackCat sur les systèmes affectés ?
L'impact d'ALPHV BlackCat comprend le chiffrement des fichiers importants, la suppression des copies d'ombre des volumes et l'arrêt des services critiques et des machines virtuelles afin de maximiser les perturbations et de pousser les victimes à payer la rançon.
L'ALPHV BlackCat a-t-il des capacités d'autopropagation ?
Oui, ALPHV BlackCat peut se propager au sein d'un réseau en utilisant des outils tels que PsExec pour s'exécuter à distance sur d'autres hôtes du réseau local.
Comment les équipes informatiques doivent-elles réagir à une infection par ALPHV BlackCat ?
L'isolement immédiat des systèmes touchés, l'identification et la révocation des informations d'identification compromises, l'éradication de la présence du ransomware et la restauration à partir des sauvegardes sont des étapes essentielles, de même qu'une enquête approfondie visant à prévenir les violations futures.
Quel rôle joue la détection des menaces par l'IA dans la lutte contre ALPHV BlackCat ?
Les plateformes de détection des menaces basées sur l'IA, telles que Vectra AI, jouent un rôle crucial dans l'identification des signes subtils des activités d'ALPHV BlackCat et d'autres menaces sophistiquées en analysant les modèles et les anomalies qui indiquent un comportement malveillant, ce qui permet des réponses plus rapides et plus efficaces.