ALPHV Blackcat
ALPHV, également connu sous le nom de BlackCat ou Noberus, est une souche de ransomware utilisée dans les opérations de Ransomware as a Service (RaaS).
Les origines de ALPHV BlackCat
Développé en utilisant le langage de programmation Rust, ALPHV peut fonctionner sur différents systèmes d'exploitation, notamment Windows, Linux (Debian, Ubuntu, ReadyNAS, Synology) et VMWare ESXi.
Il est commercialisé sous le nom d'ALPHV sur les forums de cybercriminalité, mais les chercheurs en sécurité le désignent souvent sous le nom de BlackCat, en référence à l'icône de chat noir affichée sur son site de fuite.
Depuis son premier déploiement observé dans des attaques de ransomware le 18 novembre 2021, ALPHV a fait preuve de polyvalence dans ses capacités de chiffrement, en prenant en charge les algorithmes AES et ChaCha20.
Pour assurer une interruption maximale, ALPHV peut éliminer les shadow copies, mettre fin aux processus et aux services, et arrêter les machines virtuelles sur les serveurs ESXi.
En outre, il a la capacité de se propager sur les réseaux locaux en utilisant PsExec pour s'exécuter à distance sur d'autres hôtes.
ALPHV Blackcat a été interrompu par le FBI en décembre 2023.
Cibles
Les cibles d'ALPHV
Pays ciblés par ALPHV
ALPHV Blackcat a principalement ciblé les États-Unis, suivis par l'Allemagne et d'autres pays européens tels que la France, l'Espagne et les Pays-Bas.
Source : Palo Alto
Secteurs ciblées par ALPHV
Les chercheurs ont examiné plus de 210 annonces liées au ransomware BlackCat et ont constaté que les secteurs des "services professionnels, scientifiques et techniques" et de la "fabrication" sont ses principales cibles, les cabinets d'avocats et les services juridiques étant les plus touchés au sein de l'industrie des services professionnels.
Source : SOCradar
Secteurs ciblées par ALPHV
Les chercheurs ont examiné plus de 210 annonces liées au ransomware BlackCat et ont constaté que les secteurs des "services professionnels, scientifiques et techniques" et de la "fabrication" sont ses principales cibles, les cabinets d'avocats et les services juridiques étant les plus touchés au sein de l'industrie des services professionnels.
Source : SOCradar
Les victimes d'ALPHV Blackcat
À ce jour, plus de 724 entreprises ont été victimes des attaques d'ALPHV.
Source : ransomware.live
Méthode d'attaque
Méthode d'attaque d'ALPHV Blackcat
ALPHV cible principalement les vulnérabilités des applications publiques et exploite probablement ces failles pour s'infiltrer dans les systèmes du réseau. Dans certains cas, il utilise également des comptes de domaine légitimes, qui peuvent avoir été obtenus à la suite de brèches antérieures ou de vols d'informations d'identification, pour s'implanter dans le réseau.
Une fois dans le réseau, ALPHV escalade ses privilèges en s'appuyant sur ces mêmes comptes de domaine valides, s'accordant des niveaux d'accès plus élevés qui sont généralement réservés aux administrateurs. Cette escalade est essentielle pour renforcer son contrôle sur le système. En termes d'exécution, ALPHV utilise le Shell de commande Windows pour exécuter des commandes et des scripts malveillants, ce qui facilite le déploiement et la propagation du ransomware.
Pour échapper à la détection et entraver les réponses défensives, ALPHV désactive ou modifie activement les outils de sécurité susceptibles de détecter ou de bloquer ses activités, notamment en mettant fin aux programmes antivirus et en désactivant les services de sécurité, créant ainsi un environnement plus permissif pour ses opérations.
L'impact d'ALPHV sur les systèmes compromis est sévère ; il crypte les données critiques à l'aide d'algorithmes de cryptage robustes, ce qui rend les fichiers inaccessibles aux utilisateurs. En outre, il sape les efforts de récupération du système en supprimant les copies d'ombre et en désactivant les outils de récupération, ce qui exacerbe les perturbations et pousse les victimes à répondre aux demandes de rançon pour rétablir l'accès à leurs données.
Accès Initial
ALPHV cible principalement les vulnérabilités des applications publiques et exploite probablement ces failles pour s'infiltrer dans les systèmes du réseau. Dans certains cas, il utilise également des comptes de domaine légitimes, qui peuvent avoir été obtenus à la suite de brèches antérieures ou de vols d'informations d'identification, pour s'implanter dans le réseau.
Élévation de privilèges
Une fois dans le réseau, ALPHV escalade ses privilèges en s'appuyant sur ces mêmes comptes de domaine valides, s'accordant des niveaux d'accès plus élevés qui sont généralement réservés aux administrateurs. Cette escalade est essentielle pour renforcer son contrôle sur le système. En termes d'exécution, ALPHV utilise le Shell de commande Windows pour exécuter des commandes et des scripts malveillants, ce qui facilite le déploiement et la propagation du ransomware.
Défense Evasion
Pour échapper à la détection et entraver les réponses défensives, ALPHV désactive ou modifie activement les outils de sécurité susceptibles de détecter ou de bloquer ses activités, notamment en mettant fin aux programmes antivirus et en désactivant les services de sécurité, créant ainsi un environnement plus permissif pour ses opérations.
Accès aux identifiants
Découverte
Mouvement latéral
Collection
Exécution
Exfiltration
Impact
L'impact d'ALPHV sur les systèmes compromis est sévère ; il crypte les données critiques à l'aide d'algorithmes de cryptage robustes, ce qui rend les fichiers inaccessibles aux utilisateurs. En outre, il sape les efforts de récupération du système en supprimant les copies d'ombre et en désactivant les outils de récupération, ce qui exacerbe les perturbations et pousse les victimes à répondre aux demandes de rançon pour rétablir l'accès à leurs données.
MITRE ATT&CK Mapping
TTP utilisés par l'ALPHV
ALPHV adopte une approche méthodique et multidimensionnelle pour ses attaques de ransomware, garantissant l'efficacité à différents stades du cycle d'intrusion.
TA0001: Initial Access
T1190
Exploit Public-Facing Application
T1078
Valid Accounts
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1078
Valid Accounts
TA0004: Privilege Escalation
T1078
Valid Accounts
TA0005: Defense Evasion
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1558
Steal or Forge Kerberos Tickets
T1555
Credentials from Password Stores
T1552
Unsecured Credentials
TA0007: Discovery
No items found.
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
No items found.
TA0040: Impact
T1490
Inhibit System Recovery
T1657
Financial Theft
T1486
Data Encrypted for Impact
Détections de la plate-forme
Comment détecter ALPHV avec Vectra AI
Foire aux questions
Qu'est-ce que l'ALPHV BlackCat ?
ALPHV BlackCat, également connu sous le nom de Noberus, est une variante sophistiquée de ransomware écrite en Rust, utilisée dans les opérations de Ransomware as a Service (RaaS). Il est capable de cibler plusieurs systèmes d'exploitation, notamment Windows, Linux et VMWare ESXi.
Comment ALPHV BlackCat obtient-il l'accès initial à un réseau ?
ALPHV BlackCat obtient généralement un accès initial par le biais d'exploits dans des applications publiques ou en utilisant des comptes de domaine valides qui peuvent avoir été compromis.
Quelles sont les principales cibles de l'ALPHV BlackCat ?
ALPHV BlackCat cible principalement les industries telles que les services professionnels, scientifiques et techniques et l'industrie manufacturière, avec un accent particulier sur les cabinets d'avocats et les services juridiques au sein du secteur professionnel.
Quels sont les algorithmes de cryptage utilisés par ALPHV BlackCat ?
ALPHV BlackCat peut être configuré pour utiliser les algorithmes de cryptage AES ou ChaCha20 pour verrouiller les données de la victime.
Comment ALPHV BlackCat échappe-t-il à la détection ?
Le ransomware utilise diverses techniques pour échapper à la détection, notamment en désactivant les outils de sécurité et en modifiant les processus du système pour entraver les mesures défensives.
Que peuvent faire les organisations pour se protéger contre les attaques de l'ALPHV BlackCat ?
Les organisations doivent mettre en œuvre des mesures de sécurité robustes, notamment l'application régulière de correctifs, l'utilisation de la protection avancée endpoint , la formation des employés à la sensibilisation à la sécurité et le déploiement d'une plateforme de détection des menaces pilotée par l'IA, comme Vectra AI , afin de détecter les menaces et d'y répondre plus efficacement.
Quel est l'impact d'ALPHV BlackCat sur les systèmes affectés ?
L'impact d'ALPHV BlackCat comprend le chiffrement des fichiers importants, la suppression des copies d'ombre des volumes et l'arrêt des services critiques et des machines virtuelles afin de maximiser les perturbations et de pousser les victimes à payer la rançon.
L'ALPHV BlackCat a-t-il des capacités d'autopropagation ?
Oui, ALPHV BlackCat peut se propager au sein d'un réseau en utilisant des outils tels que PsExec pour s'exécuter à distance sur d'autres hôtes du réseau local.
Comment les équipes informatiques doivent-elles réagir à une infection par ALPHV BlackCat ?
L'isolement immédiat des systèmes touchés, l'identification et la révocation des informations d'identification compromises, l'éradication de la présence du ransomware et la restauration à partir des sauvegardes sont des étapes essentielles, de même qu'une enquête approfondie visant à prévenir les violations futures.
Quel rôle joue la détection des menaces par l'IA dans la lutte contre ALPHV BlackCat ?
Les plateformes de détection des menaces basées sur l'IA, telles que Vectra AI, jouent un rôle crucial dans l'identification des signes subtils des activités d'ALPHV BlackCat et d'autres menaces sophistiquées en analysant les modèles et les anomalies qui indiquent un comportement malveillant, ce qui permet des réponses plus rapides et plus efficaces.