La Cybersecurity and Infrastructure Security Agency (CISA), le Federal Bureau of Investigation (FBI) et la National Security Agency (NSA) ont publié aujourd’hui un avis contenant des détails sur le fonctionnement du gang de ransomware BlackMatter.
Les trois agences fournissent également des informations pouvant aider les organisations à défendre l’activité de cet adversaire sur le réseau et à s’en défendre.
L’activité de ransomware-as-a-service de BlackMatter a commencé en juillet avec l’objectif clair de violer les réseaux d’entreprise appartenant à des entreprises aux États-Unis, au Canada, en Australie et au Royaume-Uni avec un chiffre d’affaires d’au moins 100 millions de dollars.
Une annonce du gang a montré qu’ils cherchaient à acheter l’accès à de tels réseaux pour jusqu’à 100 000 $ tant que ce n’était pas pour les hôpitaux, les infrastructures critiques, les organisations à but non lucratif, l’industrie de la défense et les organisations gouvernementales.
Identifiants compromis
BlackMatter est chargé de chiffrer les systèmes de plusieurs organisations aux États-Unis et de demander des rançons pouvant atteindre 15 millions de dollars en crypto-monnaie.
L’avis de cybersécurité conjoint de la CISA, du FBI et de la NSA partage les tactiques, techniques et procédures associées à l’activité BlackMatter qui pourraient aider les organisations à se protéger contre le gang de ransomware BlackMatter.
Une variante du malware analysée dans un environnement isolé montre que l’auteur de la menace a utilisé des informations d’identification d’administrateur compromises pour découvrir tous les hôtes dans l’Active Directory de la victime.
Il utilisait également la fonction Microsoft Remote Procedure Call (MSRPC) (srvsvc.NetShareEnumAll) qui permettait de répertorier tous les partages réseau accessibles pour chaque hôte.
“Notamment, cette variante de BlackMatter exploite les informations d’identification intégrées et le protocole SMB pour chiffrer à distance, à partir de l’hôte compromis d’origine” – avis conjoint de la CISA, du FBI et de la NSA
Le malware de cryptage de fichiers BlackMatter a également une version pour les systèmes basés sur Linux qui peut crypter les serveurs virtuels VMware ESXi, qui sont courants dans les environnements d’entreprise à des fins de gestion des ressources.
L’avis d’aujourd’hui avertit que, contrairement à d’autres acteurs de ransomware qui chiffrent les magasins de données de sauvegarde et les appliances, le gang BlackMatter les efface ou les reformate.
Détecter et défendre
Sur la base des TTP identifiés associés au ransomware BlackMatter, les trois agences ont créé des signatures pour le système open source de détection et de prévention des intrusions sur le réseau Snort qui peut alerter lorsqu’un processus de cryptage à distance démarre.
Règle du système de détection d’intrusion :
alert tcp any any -> any 445 ( msg:"BlackMatter remote encryption attempt"; content:"|01 00 00 00 00 00 05 00 01 00|"; content:"|2e 00 52 00 45 00 41 00 44 00 4d 00 45 00 2e 00 74 00|"; distance:100; detection_filter: track by_src, count 4, seconds 1; priority:1; sid:11111111111; )Règle du système de prévention des intrusions en ligne :
alert tcp any any -> any 445 ( msg:"BlackMatter remote encryption attempt"; content:"|01 00 00 00 00 00 05 00 01 00|"; content:"|2e 00 52 00 45 00 41 00 44 00 4d 00 45 00 2e 00 74 00|"; distance:100; priority:1; sid:10000001; ) rate_filter gen_id 1, sig_id 10000001, track by_src, count 4, seconds 1, new_action reject, timeout 86400Pour contrer les attaques par ransomware BlackMatter, la CISA, le FBI et la NSA partagent un ensemble de mesures de cybersécurité qui partent de l’hygiène de base des mots de passe et vont à des mesures d’atténuation conçues pour minimiser la surface d’attaque d’Active Directory.
Outre l’utilisation des signatures Snort ci-dessus, les agences recommandent d’utiliser des mots de passe forts et uniques pour divers comptes, tels que les administrateurs d’administrateur, de service et de domaine.
L’authentification multifacteur doit être active pour tous les services prenant en charge la fonctionnalité. Cette exigence est particulièrement importante pour la messagerie Web, les réseaux privés virtuels et les comptes qui accèdent aux systèmes critiques.
L’installation de correctifs de sécurité à temps reste “l’une des mesures les plus efficaces et les plus rentables qu’une organisation puisse prendre pour minimiser son exposition aux menaces de cybersécurité”.
Les conseils d’atténuation supplémentaires contenus dans l’avis font référence aux éléments suivants :
- limiter l’accès aux ressources sur le réseau aux services et comptes d’utilisateurs nécessaires
- segmentation du réseau et surveillance de la traversée pour entraver la visibilité et la cartographie du réseau, et pour découvrir une activité inhabituelle indiquant un mouvement latéral
- accès basé sur le temps pour les comptes avec des privilèges d’administrateur et au-dessus pour une durée limitée nécessaire à l’exécution d’une tâche
- désactiver les activités et les autorisations de ligne de commande et de script pour empêcher l’élévation des privilèges et le mouvement latéral
- conservez régulièrement des sauvegardes hors ligne chiffrées et immuables – elles ne peuvent pas être modifiées, le périphérique de stockage WORM (write-once-read-many)
Pour les organisations d’infrastructures critiques, la CISA, le FBI et la NSA ont publié un ensemble spécial d’atténuations supplémentaires qui doivent être prioritaires :
- Désactivez le stockage des mots de passe en texte clair dans la mémoire LSASS.
- Envisagez de désactiver ou de limiter le New Technology Local Area Network Manager (NTLM) et l’authentification WDigest
- Implémentez Credential Guard pour Windows 10 et Server 2016. Pour Windows Server 2012R2, activez Protected Process Light pour Local Security Authority (LSA)
- Minimisez la surface d’attaque AD pour réduire l’activité d’octroi de tickets malveillants. Une activité malveillante telle que « Kerberoasting » tire parti du service d’octroi de tickets de Kerberos et peut être utilisée pour obtenir des informations d’identification hachées que les attaquants tentent de déchiffrer
BlackMatter fait aujourd’hui partie des principales menaces de ransomware. Il a émergé du gang de ransomware DarkSide, qui a fermé ses portes après la tristement célèbre attaque contre Colonial Pipeline en mai.
L’acteur de la menace vole les données de ses victimes avant l’étape de cryptage et publie les fichiers sur leur site de fuite à moins qu’ils n’obtiennent la rançon.
Pour le moment, leur site répertorie les victimes de divers secteurs industriels (vêtements, boissons, logiciels, investissement, technologie) qui n’ont pas payé la rançon, dont beaucoup sont basées aux États-Unis.
Récemment, le gang a violé le fournisseur de solutions logicielles d’entreprise Marketron, la coopérative agricole américaine NEW Cooperative et le géant de la technologie Olympus.
Pour en savoir plus: