Black Basta est une nouvelle variante dangereuse de ransomware qui cible les entreprises du monde entier. Ce logiciel malveillant crypte les fichiers et les systèmes tout en menaçant d’attaques DDoS si les rançons ne sont pas payées. Black Basta présente des capacités sophistiquées de propagation, d’évasion de la défense et de perturbation. Les entreprises doivent comprendre les tactiques de Black Basta et mettre en place des contrôles ciblés pour détecter rapidement les intrusions et arrêter le chiffrement et l’extorsion. Ce guide propose un examen approfondi du ransomware Black Basta ainsi que des recommandations d’experts sur l’identification des infections et la prévention des impacts commerciaux coûteux grâce à des mesures de sécurité proactives. Renforcer les défenses dès maintenant peut aider à protéger votre organisation contre cette menace croissante.
Vue d’ensemble du Black Basta Ransomware
Black Basta est apparu pour la première fois en avril 2022 et fonctionne selon le modèle « Ransomware-as-a-Service » (RaaS) :
- Les développeurs créent les logiciels malveillants et l’infrastructure, puis louent des variantes à des affiliés qui déploient des attaques. Les capacités personnalisables permettent d’adapter les attaques aux cibles.
- Il se rémunère par le paiement de rançons par les victimes et par le partage des revenus avec les affiliés. Menace d’attaques DDoS si les organisations ne paient pas.
- Écrit en langage de programmation Go et connu pour l’utilisation d’outils de tests d’intrusion légitimes pour exploiter les réseaux.
- Cible les grandes organisations et les infrastructures critiques telles que les soins de santé, où les temps d’arrêt et les pertes de données incitent à payer des rançons.
- Les attaques se déroulent en plusieurs étapes et commencent souvent par des réseaux de zombies et des chevaux de Troie Qakbot avant de déployer des charges utiles de ransomware sur les réseaux.
Comprendre les objectifs et les tactiques de Black Basta permet aux organisations de rechercher des indicateurs précoces de compromission et de prendre des mesures préventives.
Comment le ransomware Black Basta se propage-t-il ?
Black Basta utilise des techniques variées pour obtenir un accès, se déplacer latéralement et déployer un ransomware sur les systèmes :
Vecteurs de compromis initiaux
- Courriels d’hameçonnage contenant des pièces jointes malveillantes, telles que des PDF ou des documents Office, qui exploitent les erreurs humaines pour installer des charges utiles précoces.
- Exploitation des vulnérabilités des systèmes orientés vers l’internet, tels que les serveurs VPN non corrigés ou les instances Microsoft Exchange, par le biais d’outils d’accès à distance externes.
- Acheter l’accès à des systèmes et à des comptes compromis à d’autres groupes de cybercriminels sur des marchés clandestins.
Reconnaissance interne et mouvements latéraux
- Utilisation d’outils d’accès à distance tels que RDP et Cobalt Strike avec des informations d’identification volées pour explorer les réseaux internes.
- Recherche de vulnérabilités dans des services tels que SMB pour passer d’un système à l’autre. Les exploits permettent un accès direct au système d’exploitation sans agent.
- L’utilisation d’un logiciel de test d’intrusion légitime tel que Bloodhound pour cartographier les réseaux et identifier les cibles de grande valeur.
Déploiement de ransomwares
- L’envoi de ransomwares sur les points d’accès via des outils d’exécution à distance tels que PsExec ou Group Policy Objects.
- La désactivation des outils de sécurité et la suppression des copies d’ombre des volumes (Volume Shadow Copies) handicapent la récupération.
- L’utilisation de techniques telles que l’injection de processus pour échapper à la détection en masquant les processus malveillants comme étant légitimes.
- Utilisation des capacités polymorphes des logiciels malveillants pour éviter la détection antivirus basée sur les signatures.
La reconnaissance des méthodes de propagation de Black Basta permet d’émettre des alertes basées sur le comportement en cas d’intrusion et de mouvement latéral afin de ralentir les infections.
Impacts des incidents liés au ransomware Black Basta
Lorsque le ransomware Black Basta réussit à s’infiltrer dans les systèmes et à les chiffrer, il déclenche une cascade de conséquences graves qui peuvent paralyser les opérations et la situation financière d’une organisation.
Chiffrement généralisé des données : Dans un premier temps, l’impact principal est le chiffrement de tous les fichiers et volumes de données sur les systèmes infectés. Par conséquent, Black Basta utilise généralement un cryptage asymétrique, ce qui rend le décryptage pratiquement impossible sans les clés spécifiques. En conséquence, cette action verrouille effectivement les organisations sur leurs propres données, provoquant ainsi des perturbations opérationnelles immédiates.
Des demandes de rançon élevées: Les victimes de Black Basta sont souvent confrontées à des demandes de rançon avoisinant les 5 millions de dollars, payables en crypto-monnaie Monero. Cette forte demande s’accompagne de menaces d’attaques par déni de service distribué (DDoS) contre les sites web publics de l’organisation si la rançon n’est pas payée, ce qui aggrave encore la crise.
Exfiltration et vente des données : Lorsque les victimes refusent de payer la rançon, les attaquants peuvent exfiltrer les données et les vendre à d’autres cybercriminels, se créant ainsi des sources de revenus supplémentaires tout en compromettant davantage la sécurité et la réputation de la victime.
Restauration longue et coûteuse : Même si une organisation dispose de sauvegardes et peut restaurer des systèmes cryptés, le processus est souvent long et coûteux. Le temps d’arrêt associé à la restauration peut aller de quelques jours à quelques semaines, en fonction de l’ampleur de l’attaque, et il y a toujours une probabilité de perte de données.
Coûts exorbitants des mesures correctives : Le coût de la remise en état dépasse souvent le montant de la rançon elle-même, avec des moyennes avoisinant les 2 millions de dollars. Cela comprend les dépenses liées aux efforts de récupération, au renforcement de la sécurité après l’incident et aux éventuelles tentatives d’extorsion secondaires pendant la phase de remédiation.
Perturbation des activités commerciales : Les activités normales de l’entreprise sont gravement perturbées pendant la période de restauration et de remise en état. Cette perturbation entraîne des pertes de revenus importantes et peut nuire à la réputation de l’organisation et à la confiance des clients.
Détection des intrusions du ransomware Black Basta
Pour arrêter le chiffrement avant qu’il ne prenne de l’ampleur, il faut détecter rapidement les compromissions :
Surveillez les signaux d’alerte dans le trafic réseau
- Des processus de chiffrement non reconnus et des requêtes DNS anormales indiquent une activité C2.
- La hausse du trafic dans les PME pourrait être le signe d’un déplacement latéral du ransomware entre les systèmes.
- Les communications avec les adresses IP du réseau Tor sont le signe d’une activité de transit potentielle.
Analyser les courriels et le trafic Web
- Les leurres de phishing Black Basta imitent des factures et des demandes d’assistance avec des pièces jointes .ISO, .HTM, .PDF.
- Les courriels malveillants font souvent référence à de vrais employés par le biais de l’ingénierie sociale.
- Pour échapper aux environnements « bac à sable », il faut former le personnel à reconnaître les formes sophistiquées d’hameçonnage.
Déployer une technologie de tromperie
– Appâtez de faux points de terminaison, identifiants, fichiers et données pour détecter les mouvements latéraux et les comportements de chiffrement.
– Guidez les attaquants pour qu’ils imitent des environnements où les activités suspectes sont isolées et observées.
Surveiller les accès privilégiés et à distance
– Les connexions, les volumes et l’utilisation d’outils inhabituels indiquent que les informations d’identification sont compromises et qu’il existe une menace interne.
– La gestion détaillée des droits limite la propagation des informations d’identification volées.
Tirez parti de la détection et de la réponse aux points finaux
– Identifiez les processus suspects, les modifications du registre et les exécutables indiquant les premiers stades de la compromission.
– Les modèles d’apprentissage automatique formés sur les comportements des ransomwares fournissent des alertes très précises.
La rapidité est essentielle pour empêcher le chiffrement, c’est pourquoi l’automatisation de la détection au moyen d’outils et de politiques à plusieurs niveaux garantit une réponse rapide.
Prévenir les infections par le ransomware Black Basta
Les organisations peuvent mettre en œuvre diverses stratégies pour éviter d’être la proie d’attaques de ransomware telles que Black Basta. Ces mesures, lorsqu’elles sont appliquées méticuleusement, peuvent renforcer considérablement la défense d’une organisation contre ces menaces de plus en plus sophistiquées.
Durcissement des surfaces d’attaque externes
Tout d’abord, il est essentiel de renforcer les surfaces d’attaque externes. Il s’agit d’apporter des correctifs aux systèmes destinés au public, tels que l’infrastructure VPN, les pare-feu et les applications web. Ces actions sont nécessaires pour combler les failles qui sont souvent exploitées pour une première compromission. En outre, la réduction du nombre de systèmes connectés à l’internet grâce à des stratégies telles que la mise hors service de l’hôte et l’amélioration du contrôle d’accès interne peut réduire de manière significative le risque d’accès non autorisé. En outre, la mise en œuvre universelle de l’authentification multifactorielle peut empêcher efficacement les attaques par force brute, ajoutant ainsi une couche supplémentaire de sécurité.
Sécuriser les points finaux
Ensuite, la sécurisation des points d’accès est une autre étape critique. Il est essentiel d’installer des solutions antivirus de nouvelle génération qui incluent des fonctionnalités anti-ransomware et de prévention des exploits. Ces systèmes doivent être mis à jour avec les dernières signatures afin de garantir une efficacité maximale. En outre, la mise en œuvre de politiques d’inscription des applications sur une liste blanche de logiciels autorisés et le blocage de l’exécution de programmes non autorisés peuvent réduire considérablement le risque d’exécution de logiciels malveillants. Il est également conseillé de désactiver les services inutiles, tels que le partage de fichiers SMBv1, qui sont connus pour faciliter la propagation des ransomwares.
Perturber les mouvements latéraux
En outre, il est essentiel de perturber les mouvements latéraux potentiels au sein du réseau, une stratégie clé pour renforcer les défenses contre les cyberattaques sophistiquées. Cette perturbation peut être réalisée efficacement en segmentant les réseaux, une pratique qui contrôle la communication entre les appareils, garantissant ainsi que les systèmes de grande valeur restent isolés et plus sûrs. En outre, l’accès externe au protocole de bureau à distance (RDP) doit être soit désactivé, soit renforcé par des mesures de sécurité strictes telles que l’authentification multifactorielle et des contrôles d’accès complets à l’infrastructure de bureau virtuel. L’établissement de règles strictes de pare-feu entre les points d’extrémité pour bloquer la communication des ransomwares et leur propagation renforce encore le réseau contre ces attaques.
Créer de la résilience
La création d’une résilience contre les ransomwares passe par plusieurs étapes clés. Le maintien de sauvegardes hors ligne et immuables garantit que les données cryptées peuvent être restaurées sans avoir à répondre à des demandes de rançon. Ces sauvegardes doivent être testées régulièrement pour s’assurer qu’elles fonctionnent en cas de besoin. La mise en œuvre de contrôles d’accès au moindre privilège et la séparation des privilèges peuvent limiter considérablement les dégâts en cas de compromission des informations d’identification. En outre, il est essentiel d’élaborer et de tester régulièrement des plans d’intervention en cas d’incident qui englobent des scénarios de ransomware afin de contenir et d’éradiquer rapidement les menaces.
Surveiller les menaces
Enfin, une surveillance constante des menaces est indispensable. Le déploiement d’outils de détection et de réponse (EDR) et l’intégration de renseignements sur les menaces peuvent aider à identifier les indicateurs de compromission Black Basta, tels que des fichiers spécifiques, des comportements et des modèles de réseau. La réalisation permanente d’évaluations des vulnérabilités et de tests d’intrusion permet de localiser et de combler les failles de sécurité avant qu’elles ne soient exploitées dans le cadre d’attaques réelles.
Conclusion
Black Basta est une illustration frappante de l’escalade du danger et de la sophistication des menaces de ransomware auxquelles les entreprises sont confrontées dans le paysage actuel. En comprenant bien leurs opérations et en mettant en œuvre des stratégies de défense solides, les organisations peuvent éviter des perturbations coûteuses et maintenir leur résilience. En effet, le renforcement de la sécurité n’est pas une tâche ponctuelle, mais plutôt un processus qui exige un engagement continu et une évaluation régulière des menaces émergentes telles que Black Basta.
Vous souhaitez obtenir de l’aide pour évaluer votre exposition aux ransomwares et créer une stratégie de prévention sur mesure ? Nos spécialistes en test d’intrusion peuvent sonder les réseaux à l’aide de techniques réelles pour trouver et corriger les vulnérabilités avant qu’elles ne soient exploitées. Nous pouvons également dispenser une formation ciblée au personnel afin qu’il reconnaisse les signes d’alerte de Black Basta. Pour en savoir plus, consultez notre page de services ou contactez-nous dès aujourd’hui pour commencer.