2022-12-27 10:31 Temps de lecture : 20 min
Technologie

Qu'est-ce que Blackcat Ransomware et comment s'en défendre ?

Une cyberattaque se définit comme une tentative intentionnelle et malveillante d'accéder sans autorisation à un système ou réseau informatique en exploitant des failles existantes. L'objectif peut être de dérober des informations confidentielles ou de perturber le fonctionnement normal des activités.

Les logiciels de rançon, ou rançongiciels, sont devenus ces dernières années l'outil de prédilection des cybercriminels. Ils se propagent généralement via des courriels d'hameçonnage, des téléchargements involontaires, des logiciels piratés ou encore le protocole de bureau à distance.

Une fois qu'un ordinateur est infecté par un rançongiciel, ce dernier chiffre les fichiers essentiels. Les pirates exigent alors une rançon en échange de la clé permettant de déchiffrer les données.

Les cyberattaques peuvent compromettre la sécurité d'un pays, paralyser des secteurs économiques clés et entraîner des pertes financières considérables. Ce fut notamment le cas lors de l'attaque du rançongiciel WannaCry.

Le 12 mai 2017, un rançongiciel nommé WannaCry, dont l'origine supposée est la Corée du Nord, s'est répandu dans le monde entier, infectant plus de 200 000 systèmes informatiques dans plus de 150 pays en moins de 48 heures. WannaCry ciblait les systèmes Windows en exploitant une faille dans le protocole de bloc de messages du serveur.

L'une des principales victimes de cette attaque a été le National Health Service (NHS) au Royaume-Uni. Plus de 70 000 appareils, y compris des ordinateurs, équipements de diagnostic et scanners IRM, ont été infectés. Les médecins n'avaient plus accès aux dossiers des patients, ce qui a eu un coût estimé à près de 100 millions de dollars pour le NHS.

Cela illustre la gravité potentielle de telles attaques. Cependant, la situation pourrait encore empirer avec l'arrivée de nouveaux rançongiciels plus sophistiqués, comme BlackCat, qui laisse dans son sillage de nombreuses victimes.

Le rançongiciel BlackCat

Le rançongiciel BlackCat, également appelé ALPHV par ses créateurs, est un logiciel malveillant qui, une fois un système infecté, exfiltre et chiffre les données. L'exfiltration consiste à copier et transférer des données stockées. Après avoir exfiltré et chiffré les données critiques, BlackCat exige une rançon, payable en cryptomonnaie. Les victimes doivent s'acquitter de cette rançon pour retrouver l'accès à leurs informations.

BlackCat se distingue des rançongiciels classiques. Il s'agit du premier rançongiciel performant écrit en Rust, contrairement à la plupart qui sont développés en C, C++, C#, Java ou Python. De plus, BlackCat a été la première famille de rançongiciels à posséder un site web accessible sur le web clair où sont divulguées les informations volées lors de leurs attaques.

Autre particularité, BlackCat fonctionne selon un modèle de "rançongiciel en tant que service" (RaaS). Dans ce modèle économique de cybercriminalité, les concepteurs de rançongiciels louent ou vendent leur logiciel comme un service à d'autres individus ou groupes.

Les créateurs fournissent alors tous les outils et l'infrastructure nécessaires pour mener à bien les attaques. En échange, ils perçoivent une part des profits issus des paiements de rançons.

Cela explique pourquoi BlackCat cible principalement les organisations et les entreprises, considérées comme plus enclines à payer les rançons que les particuliers. De plus, les montants exigés auprès des entreprises sont généralement plus élevés. Les individus qui pilotent les cyberattaques sont appelés "acteurs de la cybermenace" (CTA).

Pour inciter les victimes à payer, BlackCat utilise la technique de la "triple extorsion" : le vol et le chiffrement des données, puis une demande de rançon pour y avoir accès. Si la rançon n'est pas payée, les données sont rendues publiques et/ou des attaques par déni de service (DDoS) sont lancées contre leurs systèmes.

Enfin, les personnes concernées par la fuite de données (clients, employés, partenaires) sont contactées pour faire pression sur les organisations et les pousser à payer, afin d'éviter les pertes de réputation et les poursuites judiciaires qui pourraient en découler.

Comment fonctionne le rançongiciel BlackCat

Selon une alerte du FBI, BlackCat exploite des identifiants d'utilisateurs compromis pour accéder aux systèmes.

Une fois à l'intérieur, BlackCat utilise cet accès pour compromettre les comptes utilisateurs et administrateurs stockés dans l'annuaire actif. Il peut ainsi se servir du planificateur de tâches Windows pour créer des objets de stratégie de groupe (GPO) malveillants, lui permettant de déployer son rançongiciel et de chiffrer les fichiers.

Lors d'une attaque BlackCat, des scripts PowerShell sont employés, en association avec Cobalt Strike, pour désactiver les dispositifs de sécurité du réseau de la victime. BlackCat dérobe ensuite les données stockées, y compris auprès des fournisseurs de cloud. L'acteur de la cybermenace déploie alors le rançongiciel BlackCat pour chiffrer les données du système.

Les victimes reçoivent alors une note de rançon les informant de l'attaque et du chiffrement de leurs fichiers importants. Cette note fournit également les instructions pour payer la rançon.

Pourquoi BlackCat est-il plus dangereux qu'un rançongiciel classique ?

BlackCat est plus menaçant que la plupart des rançongiciels pour plusieurs raisons :

Son langage de programmation : Rust

Rust est un langage de programmation rapide et sûr, offrant de hautes performances et une gestion efficace de la mémoire. BlackCat tire parti de ces avantages, devenant ainsi un rançongiciel très complexe et performant, capable de chiffrer les données rapidement et difficile à analyser. Rust est également un langage multiplateforme, ce qui permet aux acteurs de la menace d'adapter BlackCat à différents systèmes d'exploitation (Windows, Linux), augmentant ainsi le nombre de victimes potentielles.

Son modèle commercial : le RaaS

Le modèle de "rançongiciel en tant que service" permet à de nombreux acteurs de la menace de déployer des rançongiciels sophistiqués sans avoir les compétences nécessaires pour les créer. BlackCat prend en charge la partie technique, laissant aux pirates le soin de l'introduire dans un système vulnérable.

Les paiements attractifs pour les affiliés

Avec le modèle RaaS, les créateurs de BlackCat gagnent de l'argent en prenant une part des rançons payées par les victimes. Contrairement à d'autres familles RaaS qui conservent jusqu'à 30% des gains, BlackCat laisse entre 80% et 90% aux acteurs de la menace. Cette générosité attire davantage d'affiliés prêts à déployer BlackCat lors de cyberattaques.

Son site de fuite sur le web clair

Contrairement à d'autres rançongiciels qui diffusent les informations volées sur le dark web, BlackCat rend publiques les données sur un site web accessible à tous. Cette visibilité augmente l'impact d'une cyberattaque et met davantage de pression sur les victimes pour payer la rançon.

Le langage Rust rend BlackCat très efficace dans ses attaques. De plus, le modèle RaaS et les paiements attrayants attirent un grand nombre d'acteurs menaçants, qui sont d'autant plus susceptibles de le déployer.

La chaîne d'infection de BlackCat

BlackCat accède initialement à un système en utilisant des identifiants compromis ou en exploitant des vulnérabilités de Microsoft Exchange Server. Une fois à l'intérieur, les acteurs malveillants suppriment les protections de sécurité, collectent des informations sur le réseau et augmentent leurs privilèges.

Le rançongiciel BlackCat se déplace ensuite latéralement sur le réseau, accédant à un maximum de systèmes. Cela facilite la demande de rançon : plus il y a de systèmes attaqués, plus la victime est encline à payer.

Les acteurs de la menace exfiltrent ensuite les données afin de pouvoir les utiliser à des fins d'extorsion. Une fois les données critiques volées, le terrain est prêt pour le déploiement de BlackCat.

BlackCat, écrit en Rust, est alors exécuté. Il arrête en premier lieu les services essentiels comme les sauvegardes, les antivirus, les services Internet Windows et les machines virtuelles. Il chiffre ensuite les fichiers et défigure l'image d'arrière-plan du système en la remplaçant par la note de rançon.

Comment se protéger de BlackCat

Bien que BlackCat soit plus dangereux que les rançongiciels connus jusqu'à présent, les entreprises peuvent se prémunir en adoptant diverses mesures :

Chiffrer les données essentielles

L'une des stratégies d'extorsion de BlackCat consiste à menacer de divulguer les données des victimes. En chiffrant les données critiques, une organisation ajoute une couche de protection supplémentaire qui rend les techniques d'extorsion moins efficaces. Même en cas de fuite, les données seront illisibles.

Mettre régulièrement à jour les systèmes

Des études menées par Microsoft ont révélé que BlackCat exploitait parfois des serveurs Exchange non corrigés pour accéder aux systèmes d'une organisation. Les éditeurs de logiciels publient régulièrement des mises à jour pour résoudre les vulnérabilités et les problèmes de sécurité découverts. Il est donc crucial d'installer ces correctifs dès qu'ils sont disponibles.

Sauvegarder les données dans un lieu sûr

Les organisations doivent sauvegarder régulièrement leurs données et les stocker hors ligne dans un endroit sûr. De cette façon, même si les données critiques sont chiffrées, elles peuvent être restaurées à partir de sauvegardes existantes.

Mettre en place l'authentification multifacteur

Outre l'utilisation de mots de passe robustes, il est essentiel de mettre en place l'authentification multifacteur, qui exige plusieurs informations d'identification avant d'accorder l'accès à un système. Cela peut passer par la génération d'un mot de passe à usage unique envoyé par SMS ou par courriel.

Surveiller l'activité du réseau et des fichiers

Les organisations doivent surveiller en continu l'activité sur leurs réseaux pour détecter et répondre le plus rapidement possible à toute activité suspecte. Les données du réseau doivent être enregistrées et analysées par des experts en sécurité pour identifier les menaces potentielles. De même, il est essentiel de suivre comment les fichiers sont consultés, par qui et comment ils sont utilisés.

En chiffrant les données critiques, en veillant à ce que les systèmes soient à jour, en sauvegardant régulièrement les données, en mettant en œuvre une authentification multifacteur et en surveillant l'activité du réseau, les organisations peuvent anticiper les attaques de BlackCat et s'en protéger.

Ressources pour apprendre sur les rançongiciels

Pour en savoir plus sur les cyberattaques et vous protéger des rançongiciels comme BlackCat, nous vous recommandons de suivre l'un de ces cours ou de lire les ouvrages suggérés ci-dessous :

#1. Formation de sensibilisation à la sécurité

Ce cours est idéal pour tous ceux qui souhaitent améliorer leur sécurité en ligne. Il est proposé par le Dr Michael Biocchi, un professionnel certifié en sécurité des systèmes d'information (CISSP).

Il couvre des sujets tels que le phishing, l'ingénierie sociale, la fuite de données, les mots de passe, la navigation sécurisée et les appareils personnels, et donne des conseils généraux pour assurer la sécurité sur Internet. Le cours est régulièrement mis à jour et s'adresse à tous les utilisateurs d'Internet.

#2. Formation de sensibilisation à la sécurité, Sécurité Internet pour les employés

Ce cours, destiné aux utilisateurs quotidiens d'Internet, vise à les sensibiliser aux menaces de sécurité qu'ils ignorent souvent et à leur apprendre à s'en protéger.

Proposé par Roy Davis, un expert en sécurité de l'information certifié CISSP, il traite de la responsabilité des utilisateurs et des appareils, du phishing, des courriels malveillants, de l'ingénierie sociale, de la gestion des données, des mots de passe, de la navigation sécurisée, des appareils mobiles et des rançongiciels. À la fin du cours, vous obtenez un certificat de réussite, conforme aux politiques de réglementation des données dans la plupart des environnements de travail.

#3. Cybersécurité : formation de sensibilisation pour les débutants absolus

Ce cours Udemy est proposé par Usman Ashraf de Logix Academy. Usman, certifié CISSP, est titulaire d'un doctorat en réseaux informatiques et possède une vaste expérience dans l'industrie et l'enseignement.

Il offre aux apprenants un aperçu détaillé de l'ingénierie sociale, des mots de passe, de la suppression sécurisée des données, des réseaux privés virtuels (VPN), des logiciels malveillants, des rançongiciels et des conseils de navigation sécurisée. Le cours explique également comment les cookies sont utilisés pour suivre les utilisateurs. Il est conçu pour un public non technique.

#4. Ransomware révélé

Cet ouvrage est écrit par Nihad A. Hassan, consultant indépendant en sécurité de l'information et expert en cybersécurité et en criminalistique numérique. Il enseigne comment atténuer et gérer les attaques de rançongiciels et donne aux lecteurs un aperçu détaillé des différents types de rançongiciels, de leurs stratégies de distribution et de leurs méthodes de récupération.

Le livre couvre également les étapes à suivre en cas d'infection par un rançongiciel : comment payer une rançon, comment effectuer des sauvegardes et restaurer les fichiers affectés, et comment trouver en ligne des outils de déchiffrement. Il explique comment les organisations peuvent élaborer un plan de réponse aux incidents de rançongiciels pour minimiser les dommages et reprendre rapidement leurs activités.

#5. Rançongiciel : Comprendre. Empêcher. Se remettre

Dans ce livre, Allan Liska, architecte de sécurité senior chez Recorded Future, répond à toutes les questions complexes sur les rançongiciels.

Il donne un contexte historique expliquant pourquoi les rançongiciels sont devenus si répandus ces dernières années, comment arrêter les attaques, les vulnérabilités que les acteurs malveillants ciblent et un guide pour survivre à une attaque avec le minimum de dommages. De plus, il aborde la question épineuse : faut-il payer la rançon ? Cet ouvrage propose une exploration fascinante du monde des rançongiciels.

#6. Guide de protection contre les rançongiciels

Ce livre est une lecture essentielle pour toute personne ou organisation souhaitant se prémunir contre les rançongiciels. L'auteur, Roger A. Grimes, expert en sécurité informatique, met à profit sa vaste expérience et ses connaissances dans ce domaine.

Il propose un plan d'action pour les organisations qui souhaitent élaborer des défenses solides contre les rançongiciels. Il enseigne comment détecter une attaque, limiter rapidement les dégâts et déterminer s'il faut payer la rançon ou non. Il explique également comment limiter les pertes financières et les atteintes à la réputation.

Enfin, le livre enseigne comment créer une base solide en matière de cybersécurité et de protection juridique afin d'atténuer les perturbations des activités et de la vie quotidienne.

Note de l'auteur

BlackCat est un rançongiciel révolutionnaire qui bouleverse le statu quo en matière de cybersécurité. En mars 2022, il avait déjà attaqué avec succès plus de 60 organisations et attiré l'attention du FBI. BlackCat est une menace sérieuse et aucune organisation ne peut se permettre de l'ignorer.

Grâce à l'utilisation d'un langage de programmation moderne et de méthodes d'attaque, de chiffrement et d'extorsion non conventionnelles, BlackCat a pris de court les experts en sécurité. Toutefois, la lutte contre ce rançongiciel n'est pas perdue.

En mettant en œuvre les stratégies décrites dans cet article et en minimisant les risques d'erreur humaine qui peuvent exposer les systèmes informatiques, les organisations peuvent anticiper et empêcher les attaques catastrophiques du rançongiciel BlackCat.

Auteur
Camille Moreau
France

Rédacteur tech, guides pratiques et astuces numériques.

Articles similaires
2026-05-15
Découvrez la montre connectée légère HUAWEI WATCH FIT 5 Pro, votre alliée au quotidien  
Dans un monde où l'innovation ne cesse d'évoluer, la HUAWEI WATCH FIT 5 Pro se présente comme une option incontournable pour les amateurs d…
2026-05-05
Énergie solaire en Europe : comment bien préparer une installation photovoltaïque professionnelle ?
L’énergie solaire n’est plus seulement une solution réservée aux passionnés d’écologie ou aux grands projets industriels. Elle devient, pro…
2026-03-31
Comment économiser sur un vélo électrique : conseils pratiques pour payer moins cher en Europe
Acheter un vélo électrique représente souvent un investissement important. Entre le prix du modèle, les accessoires, la livraison et l’entr…
2026-03-11
Optimisez vos performances : Pourquoi la huawei watch gt runner est l'alliée incontournable des marathoniens en 2026 ? 
Si vous avez déjà pris le départ du Marathon de Paris ou couru le long des quais de Bordeaux, vous savez que chaque détail compte dès que l…
Article précédent
Comment écrire un Elevator Pitch [+ 7 Examples]
Article suivant
Qu'est-ce que le cardage et comment s'en protéger ?