Ransomware BlackSuit : 8 ans, 6 noms, 1 syndicat de cybercriminalité

Depuis près de 20 ans, les ransomwares sont devenus un danger important, et certaines des menaces modernes les plus prolifiques d'aujourd'hui sont les « arrière-arrière-arrière-petits-enfants » des souches notoires originales. C'est le cas du ransomware BlackSuit, une opération identifiée comme la cinquième menace la plus dangereuse pour le secteur de la santé publique américain il y a tout juste six mois.

Un démarrage lent ?

BlackSuit est une opération de ransomware privée sans filiales connues qui ne fonctionne pas comme un ransomware en tant que service (RaaS). Il s'agit d'une menace active et généralisée aujourd'hui, mais ce n'était pas le cas en 2023. BlackSuit a été observé pour la première fois au cours du deuxième trimestre de 2023, mais représentait moins d'un demi pour cent de toutes les attaques par ransomware jusqu'à la fin de cette année. Cela peut donner l'impression que BlackSuit est resté relativement inactif pendant un certain temps, mais c'est rarement le cas dans les attaques qui réussissent.

Les acteurs malveillants organisés ne font jamais de pause, et les attaques visibles ne représentent qu'une partie de leurs activités. Voici les éléments qui caractérisent une opération de ransomware :

• Le développement continu du code pour s'assurer que les ransomwares/malwares sont efficaces et difficiles à détecter
• Le développement de l'infrastructure, comme les serveurs de commande et de contrôle (C2), les systèmes de paiement, les canaux de communication, les sites de fuite, etc.
• Conception stratégique de tactiques, techniques et procédures (TTP) pour mener les attaques les plus efficaces et les plus dommageables
• Des recherches sur les victimes et les cibles afin que le groupe puisse se concentrer sur des cibles à forte valeur ajoutée
• Le recrutement et la formation des membres (ou des affiliés RaaS) pour s'assurer que le groupe est prêt à intensifier ses opérations

Ce ne sont là que quelques-unes des activités constamment en cours en arrière-plan alors que les acteurs malveillants améliorent leurs opérations. De nombreux éléments doivent être en place avant qu'un groupe puisse intensifier ses attaques. Nous ne savons pas exactement ce que BlackSuit faisait en 2023, mais son activité d'attaque s'est rapidement intensifiée à la fin de l'année. En février 2024, BlackSuit était l'une des menaces de ransomware les plus actives.

Comment fonctionne BlackSuit ?

Décomposons la chaîne d'infection de BlackSuit, en commençant par l'accès initial. Comme de nombreux acteurs de la menace, BlackSuit utilise des e-mails de phishing contenant des pièces jointes ou des liens malveillants qui lancent le processus d'infection lorsqu'ils sont ouverts. Les pièces jointes infectées utilisent souvent des macros pour exécuter le code, et les liens peuvent mener à des sites Web malveillants qui dirigent des attaques par téléchargement. Le groupe utilise également la publicité malveillante pour rediriger les internautes vers ses sites d'attaque.

Le protocole RDP (Remote Desktop Protocol) est le deuxième vecteur le plus courant pour l'accès initial. Environ 13,3 % des attaques de BlackSuit commencent ici, souvent avec des identifiants volés que le groupe a achetés auprès de courtiers en accès initiaux.

BlackSuit exploite également les applications publiques mal configurées, non corrigées ou vulnérables aux attaques.

L'un des outils préférés de BlackSuit est SystemBC, un cheval de Troie d'accès à distance (RAT) qui permet aux pirates d'établir une capacité de commande et de contrôle (C2) par le biais d'une connexion proxy anonyme. Voici une illustration simple de cette connectivité C2 :

Nous allons nous en tenir à une présentation générale, mais vous pouvez consulter la description technique complète d'une infection par BlackSuit ici.

Une fois que BlackSuit a accédé à un système, les pirates tentent d'établir une persistance, d'augmenter leurs privilèges et d'amorcer un mouvement latéral. Plusieurs outils sont utilisés pour ces opérations :

• PowerShell : une suite d'automatisation des tâches multiplateforme initialement publiée en tant que composant de Microsoft Windows en 2006. Les capacités de PowerShell permettent aux pirates d'effectuer de nombreux types d'activités malveillantes sur le réseau de la victime. La documentation PowerShell de Microsoft est disponible ici, et vous trouverez ici un article sur la façon dont PowerShell est utilisé dans les attaques par ransomware.
• PSExec : un logiciel système légitime qui permet d'exécuter des processus sur d'autres systèmes et d'interagir pleinement avec les applications de console sans installer de logiciel client. La documentation Microsoft relative à PSExec est disponible ici.
• Cobalt Strike : un outil commercial conçu pour simuler des attaques et des actions après les attaques. Consultez la page MITRE ATT&CK ici pour découvrir pourquoi les acteurs malveillants utilisent ce logiciel pour leurs attaques.
• Mimikatz : un voleur de mots de passe développé à l'origine comme preuve de concept pour montrer à Microsoft que ses protocoles d'authentification étaient vulnérables aux attaques. Mimikatz peut exposer plusieurs vulnérabilités pour voler des mots de passe. Vous trouverez plus de détails ici.

Lorsqu'il est prêt, BlackSuit commence à exfiltrer les données afin de pouvoir menacer de les publier ou de les vendre si la victime ne paie pas une rançon. Le groupe supprime également les « shadow copies » afin d'entraver la récupération et, parfois, chiffre ou supprime les fichiers de sauvegarde de l'entreprise.

L'étape suivante est le déploiement de la charge utile du ransomware. BlackSuit chiffre les fichiers sur les lecteurs locaux et réseau à l'aide de scripts automatisés ou d'outils à distance. Les attaquants masquent généralement le nom de l'exécutable de chiffrement en utilisant par exemple « explorer.exe » ou « abc123.exe ».

BlackSuit utilise une stratégie de chiffrement partiel, ce qui rend le processus beaucoup plus rapide. Le chiffrement partiel est moins susceptible de déclencher des alertes de sécurité et endommage davantage de fichiers plus rapidement.

Les fichiers chiffrés sont renommés avec une extension .blacksuit et une note de rançon nommée « README.BlackSuit.txt » est déposée sur le bureau et dans tous les dossiers contenant des fichiers chiffrés. 

La demande de rançon offre une clé de décryptage et garantit la confidentialité de vos fichiers volés en échange d'une rançon, ce qui constitue une menace typique de double extorsion. Pendant ce temps, la victime est répertoriée sur le site de fuite de BlackSuit.

BlackSuit cible les systèmes Windows et Linux. La variante Linux cible les serveurs VMware ESXi et utilise des commandes ESXi, des arguments de ligne de commande Linux et d'autres outils compatibles avec Linux pour mener l'attaque.

Victimes notables

BlackSuit cible des organisations dans divers secteurs et pays. S-RM signale que la plupart des victimes sont des entreprises américaines, et 88 % d'entre elles emploient moins de 1 000 employés. 

La rançon la plus importante reçue par BlackSuit a été versée par CDK Global, une multinationale américaine qui fournit des systèmes de gestion des concessionnaires et d'autres logiciels et services à environ 15 000 concessionnaires automobiles en Amérique du Nord. Les concessionnaires ont perdu environ 1 milliard de dollars en interruptions d'activité et en coûts de reprise.

Une source non identifiée a déclaré à Bloomberg que CDK avait l'intention de payer la rançon, et une société de suivi des cryptomonnaies a observé un paiement en bitcoins de 25 millions de dollars sur un compte contrôlé par BlackSuit. Il s'agit du troisième paiement de ransomware le plus important observé ou signalé, derrière Dark Angels/victime anonyme (75 millions de dollars) et Phoenix/CNA Financial (40 millions de dollars).

En avril 2024, le groupe a également perturbé les opérations de plus de 160 centres de don de plasma sanguin. Il s'agissait d'une attaque contre Octapharma Plasma, qui exerce ses activités dans plus de 100 pays et possède des centres de dons dans 35 États américains. BlackSuit aurait infiltré Octapharma Plasma en ciblant ses systèmes ESXi avec la variante Linux mentionnée plus haut.

BlackSuit a également compromis ZooTampa, le gouvernement brésilien, Western Municipal Construction et bien d'autres encore.

Lignée

BlackSuit n'a pas surgi de nulle part. Le nom a changé, mais les membres individuels du groupe malveillant existent depuis de nombreuses années.

Le ransomware Hermes a fait son apparition en février 2016. La souche de ransomware Hermes était considérée comme un « ransomware de base » car elle était vendue sur des forums clandestins pour être utilisée par de nombreux autres acteurs malveillants. Elle a ensuite évolué vers une offre de ransomware en tant que service (RaaS) avant de disparaître progressivement en 2018.

Le ransomware Ryuk est apparu en août 2018 et les chercheurs ont rapidement fait le lien entre Ryuk et Hermes grâce à des similitudes de code. L'opération Ryuk a créé une souche plus sophistiquée et plus destructrice et a peut-être été la première à mener des attaques de « chasse au gros gibier ». Ryuk a souvent été déployé après d'autres malwares, comme TrickBot, ce qui lui a permis de faire partie d'une chaîne d'attaque plus vaste et plus destructrice.

Jusqu'à présent, les origines d'Hermès et de Ryuk n'étaient pas claires. Certains chercheurs ont soupçonné Hermes, puis Ryuk, d'avoir été développés par le groupe nord-coréen Stardust Chollima (Lazarus Group, APT38). D'autres ont pensé qu'ils étaient liés à un acteur malveillant en Russie, connu sous le nom de Wizard Spider (FIN12, UNC1878). Les analystes ont fini par admettre qu'Hermès et Ryuk étaient d'origine russe.

Le ransomware Conti est apparu vers décembre 2019, à peu près au moment où Ryuk a commencé à se faire discret. Un lien a été fait entre les deux souches de ransomware en raison de similitudes de code et d'infrastructure, ainsi que de  preuves liant des membres spécifiques de Conti à des adresses de Ryuk. Conti fonctionnait en tant que RaaS et collectait de nombreuses rançons de grande valeur jusqu'à ce que les dirigeants annoncent publiquement leur soutien à l'invasion russe de l'Ukraine en février 2022. 

Un chercheur ukrainien ayant accès aux ressources de Conti a réagi en envoyant des informations sensibles sur Conti aux médias et en publiant des communications privées sur X (anciennement Twitter). Il a également publié le code source des fichiers du malware ransomware Conti.

Les dégâts ont été suffisamment graves pour détruire la marque Conti, et les membres se sont dispersés stratégiquement dans plusieurs groupes nouveaux et existants de l'écosystème des ransomwares. 

C'est peut-être grâce aux « fusions et acquisitions » illustrées ci-dessus que les membres de Conti ont rejoint le groupe de ransomware Zeon, découvert pour la première fois en janvier 2022. Zeon a commencé comme une souche de ransomware peu sophistiquée et de niveau commercial. Le groupe a rapidement été rebaptisé Royal Ransomware et a commencé à mener des opérations plus avancées, similaires à celles de Conti. Royal a mis fin à ses attaques en juillet 2023 après l'attaque très médiatisée de la ville de Dallas. C'est à ce moment-là que Royal a changé de nom pour devenir BlackSuit. Les chercheurs supposent que ce changement de marque a eu lieu pour échapper à la justice et rendre leurs opérations plus attrayantes pour les affiliés potentiels.

BlackSuit aujourd'hui

Avant de disparaître, le groupe Royal Ransomware a commencé à expérimenter un nouvel outil de chiffrement appelé BlackSuit. Cela a amené de nombreux analystes du secteur à prédire à juste titre que Royal envisageait de changer de nom pour devenir BlackSuit. En juin 2023, moins d'un mois après l'apparition de BlackSuit, les chercheurs ont découvert que les deux souches étaient « presque identiques ». C'est pourquoi de nombreux analystes désignent BlackSuit et Royal Ransomware comme une seule et même entité. Par exemple, les experts attribuent à BlackSuit plus de 350 attaques et 275 millions de dollars de demandes de rançon depuis 2022, même si BlackSuit n'est devenu le nom du groupe qu'en 2023.

Malgré des similitudes, les opérateurs de BlackSuit agissent différemment :

1. Le malware utilise un chiffrement partiel renforcé et des techniques d'évasion améliorées, et les développeurs ont ajouté d'autres options d'exfiltration de données, telles que RClone et Brute Ratel.
2. Les attaquants demandent des rançons plus élevées, généralement entre 1 et 10 millions de dollars. Ils sont également plus agressifs lorsqu'il s'agit de collecter la rançon, en contactant leurs victimes par téléphone ou par e-mail pour les inciter à payer.
3. BlackSuit a étendu ses capacités de ciblage en ajoutant des capacités de vérification de l'IP et des arguments permettant de spécifier des répertoires cibles.

BlackSuit représente une menace à l'heure actuelle. Des dizaines de nouvelles victimes ont été répertoriées sur son site de fuite au cours des dernières semaines. Vous pouvez vous défendre contre cette menace en commençant par les principes de base :

1. Assurez-vous d'être bien informé au sujet de la sécurité des e-mails et du phishing. Le phishing est le principal vecteur d'intrusion de BlackSuit.
2. Appliquez l'authentification multifacteur et l'accès sur le principe du moindre privilège. Il sera ainsi plus difficile pour les attaquants de se connecter avec des identifiants volés, et cela limitera les informations que l'intrus peut découvrir.
3. Veillez à mettre à jour régulièrement vos systèmes et vos applications. BlackSuit exploite les vulnérabilités des logiciels, des firmwares et des systèmes d'exploitation.
4. Segmentez votre réseau pour limiter les mouvements latéraux en cas de violation. Cela permettra de « réduire le rayon d'explosion » et de limiter les dommages potentiels à des sections plus restreintes.
5. Utilisez la détection étendue des points de terminaison, la surveillance continue du réseau et la réponse automatisée aux incidents. Cela permettra d'identifier et de perturber les activités suspectes en temps réel.  
6. Conservez des sauvegardes sécurisées et hors ligne des données critiques et testez-les régulièrement pour vous assurer qu'elles fonctionnent correctement.
7. Désactivez le protocole RDP (Remote Desktop Protocol) si possible, car il s'agit du deuxième point d'intrusion le plus utilisé par le ransomware BlackSuit.

Il n'y a aucune raison d'être victime de BlackSuit ou d'un autre ransomware. Protégez vos identifiants, sécurisez vos applications et maintenez un bon système de sauvegarde qui protège toutes vos données critiques. Profitez de ressources gratuites telles que Stop Ransomware, et contactez-nous pour que nous puissions vous aider à défendre chaque vecteur de menace contre les attaques par ransomware.

Vous pouvez compter sur Barracuda

La plateforme complète de cybersécurité proposée par Barracuda protège les organisations contre les principaux vecteurs d'attaque qui prévalent dans les menaces complexes d'aujourd'hui. Rentables, riches en fonctionnalités et complètes, les solutions proposées par Barracuda protègent votre entreprise contre un large éventail de menaces et s'accompagnent d'un service client exceptionnel. Travailler avec un seul fournisseur permet de réduire la complexité, d'accroître l'efficacité et de diminuer le coût total de possession. Des centaines de milliers de clients dans le monde font confiance à Barracuda pour protéger leurs e-mails, leurs réseaux, leurs applications et leurs données.