La menace BlackMatter et Conti Ransomware
Un nouveau gang de rançongiciels vient de commencer à lancer des attaques contre plusieurs secteurs. Le point sur la façon de défendre votre organisation.
Deux gangs de rançongiciels attaquent et les organisations doivent se défendre.
Lors d'une table ronde urgente le 28 septembre 2021 organisée par Critical Insight, les panélistes ont fourni des conseils aux organisations et aux dirigeants américains sur la manière de réagir :
- Les gangs de rançongiciels devraient être qualifiés de terroristes (ce qui commence à se produire).
- Ne jamais faire confiance à un criminel. Leurs promesses ne valent pas grand-chose et leurs "clés de déchiffrement" ne valent parfois rien.
- Les organisations doivent ajouter MFA à tout ce qu'elles peuvent, élaborer un plan IR solide, surveiller les intrusions 24 heures sur 24, 7 jours sur 7, disposer d'une solution Endpoint solide , faire appel à des experts pour créer un système de sauvegarde, appliquer des correctifs et avoir des intervenants en cas d'incident sur mandat.
- Les tarifs de l'assurance cybersécurité augmentent et vous aurez besoin des services énumérés ci-dessus pour maintenir les tarifs bas (et même pour conserver l'assurance). L'assurance est également un bon moyen d'expliquer les besoins en matière de cybersécurité aux PDG, aux directeurs financiers, aux conseils d'administration et aux dirigeants élus.
- "Soyez un innovateur" - Si les taux d'assurance deviennent un obstacle, assurez-vous pendant un an et dépensez l'argent pour améliorer les contrôles de sécurité avant de vous assurer à nouveau.
Regardez la table ronde de 60 minutes pour plus de plats à emporter. Comme l'a dit une personne, "je suis dans le métier depuis 15 ans et j'ai beaucoup appris de ces gars."
Voici plus de détails sur les cyberterroristes :
Le groupe BlackMatter Ransomware
Le groupe de rançongiciels BlackMatter est apparu fin juillet 2021. Dans leurs interactions avec d'autres acteurs de la menace et des enquêteurs en cybersécurité, le groupe prétend être une nouvelle entité. La plupart des professionnels de la cybersécurité rejettent cela et disent que leurs actions et les outils qu'ils utilisent montrent qu'ils sont essentiellement le groupe de cybercriminalité DarkSide opérant sous un nouveau nom.
Le FBI a identifié les criminels de DarkSide comme les auteurs de l'attaque du Colonial Pipeline en mai 2021. La pression réglementaire et politique que cette attaque a générée a conduit à la disparition du groupe en ligne. Le groupe de rançongiciels BlackMatter semble être leur réémergence ; Ce n'est pas une surprise, étant donné le caractère lucratif des attaques de ransomwares. La méthodologie BlackMatter est une véritable extorsion moderne.
- Tout d'abord, ils prennent pied sur un réseau, puis cherchent à utiliser la découverte et la propagation latérale pour infecter autant d'appareils que possible.
- Ensuite, ils utilisent des techniques furtives pour voler des copies de données sensibles.
- Enfin, ils chiffrent les systèmes et émettent des demandes de rançon avec la promesse d'une clé de déchiffrement.
- Dans de nombreux cas, ils menacent également de divulguer publiquement les informations sensibles qu'ils ont copiées à moins qu'une rançon supplémentaire ne soit payée. Ils vendent très probablement également ces données sur le dark web.
Tactiques standard de ransomware, mais efficaces pour eux et dévastatrices pour toute organisation qu'ils violent. Consultez notre article Qu'est-ce qu'un ransomware et comment le prévenir ? postez des mesures pour protéger votre organisation.
Augmentation des cyberattaques de Conti Ransomware
En plus des activités renouvelées de BlackMatter provoquant l'alarme dans les cercles de cybersécurité, CISA a émis une alerte avertissant les fournisseurs de soins de santé et d'autres infrastructures critiques d'un autre groupe d'attaque. L'alerte décrit la menace et les techniques d'atténuation que les organisations peuvent utiliser pour lutter contre la menace du rançongiciel Conti. Les détails techniques sont fournis en utilisant le cadre MITRE ATT&CK pour référence.
Dans un communiqué conjoint non technique de la CISA, du FBI et de la NSA pour accompagner l'alerte, ils soulignent que la CISA et le FBI ont observé plus de 400 attaques utilisant le rançongiciel Conti. Les attaques visaient des organisations américaines et internationales. Les attaquants visaient à voler des fichiers, à chiffrer des serveurs et des postes de travail et à exiger une rançon pour restituer les données sensibles volées.
Le groupe de rançongiciels Conti utilise un modèle de rançongiciel en tant que service (RaaS). Ils utilisent des vecteurs d'attaque tels que les campagnes de harponnage, les vulnérabilités des logiciels de surveillance et de gestion à distance, la vulnérabilité "PrintNightmare" et les failles de sécurité des logiciels de bureau à distance pour y accéder. Ensuite, ils suivent le script de ransomware typique pour voler des données et extorquer des paiements de rançon.
Le communiqué conjoint conclut en recommandant fortement aux organisations concernées de ne payer aucune demande de rançon. Cela ne fait que perpétuer le cycle des attaques.