Partenaires
Contactez-nous
Obtenez un devis
Écrit par Cyber Threat Intelligence Unit le 21 août 2023

Présentation du ransomware ALPHV/BlackCat 2.0 "Sphynx" : Une analyse complète du paysage des cyber menaces

Le temps de lecture estimé est de 5 à 6 minutes.

 

Le monde des ransomwares est en constante évolution car les cybercriminels adaptent leurs techniques pour surmonter les défenses et atteindre un impact maximal. Le célèbre groupe de ransomware ALPHV / BlackCat, anciennement connu sous le nom de NOBERUS, a récemment introduit une version améliorée de leur Ransomware as a Service (RaaS), "Sphynx."

Le 21 février 2023,  VX-underground a rapporté un développement significatif : le groupe de ransomware ALPHV avait déployé une mise à jour pour ses affiliés, dévoilant une nouvelle variante de ransomware nommée Sphynx. Cette nouvelle variante apporte des avancées dans la vitesse de cryptage et la furtivité, comme le souligne un rapport d’avril par l’utilisateur X sur Twitter.

 

Notamment,  Microsoft Threat Intelligence a récemment détecté le déploiement d’une version mise à jour du ransomware BlackCat dans les campagnes en cours. Cette dernière version intègre Impacket, un outil de cadre de communication open-source que les auteurs de menaces utilisent pour améliorer les mouvements latéraux dans des environnements ciblés.

Les opérateurs de BlackCat ont exprimé leur satisfaction à l’égard des progrès, en déclarant : "Nous sommes heureux de vous informer que le test des fonctionnalités de base ALPHV / BlackCat 2.0 : Sphynx est terminé", dans un message adressé à leurs affiliés.

  1. Évolution de l’ALPHV/BlackCat :

ALPHV/BlackCat, un acteur clé dans le domaine des ransomwares, a subi une métamorphose importante. Le groupe a complètement remanié son offre RaaS en réponse à l’évolution du paysage de la cybersécurité. Cette adaptation stratégique vise à contrer les défenses sophistiquées et les acteurs de menaces rivaux. Le ransomware Sphynx a été découvert par des experts en cybersécurité de Vx underground, qui sont tombés sur une communication de BlackCat à ses affiliés dévoilant cette mise à jour de produit remarquable.

  1. Caractéristiques améliorées et capacités renforcées :

Le ransomware Sphynx dispose de fonctionnalités améliorées conçues pour augmenter son efficacité tout en évitant la détection. Parmi ces améliorations figure l’intégration d’outils open source tels que Impacket et RemCom. Ces outils sont essentiels à l’exécution d’opérations à distance et de mouvements latéraux dans l’infrastructure de la victime ciblée. Les améliorations ont deux objectifs : premièrement, prolonger la durée pendant laquelle le ransomware reste caché des systèmes de détection et de réponse (EDR) antimalware et endpoint, et deuxièmement, optimiser le processus de cryptage pour un verrouillage rapide et efficace des données.

  1. Engagement des affiliés et campagnes opérationnelles :

Initialement limité aux affiliés établis, le ransomware Sphynx étend progressivement sa disponibilité aux nouveaux participants. L’équipe du renseignement de sécurité de Microsoft Threat Intelligence a observé le déploiement de cette nouvelle version lors d’une campagne en juillet 2023 impliquant une filiale identifiée comme "storm-0875." Cette observation souligne l’influence croissante de cette variante de ransomware et sa prévalence croissante dans le paysage des menaces.

  1. Méthodologies novatrices en matière d’infection :

Les affiliés d’ALPHV/BlackCat ont fait preuve d’adaptabilité en adoptant des stratégies d’infection innovantes pour propager les ransomwares. Utilisant le malvertising comme vecteur, ils favorisent des versions altérées des outils informatiques couramment utilisés, attirant des victimes sans méfiance et perpétuant le cycle d’infection. Cette tactique souligne la sophistication du groupe et souligne la nécessité d’une prudence accrue lors de l’interaction avec des logiciels apparemment légitimes.

  1. Répercussions et pratiques exemplaires :

Compte tenu de l’histoire d’ALPHV/BlackCat en tant qu’acteur formidable dans le domaine des ransomwares, l’émergence de la version ransomware de Sphynx amplifie le risque pour les organisations. Pour atténuer efficacement ces menaces, les recommandations suivantes sont recommandées :

  • Planification stratégique de la sauvegarde :
    Élaborez une stratégie complète de sauvegarde pour assurer la restauration rapide des données en cas d’attaque.
  • Implémentations EDR et XDR avancées :
    Utilisez des solutions de pointe de détection et de réponse des terminaux (EDR) et de détection et de réponse étendues (XDR) alignées sur les dernières normes de cybersécurité.
  • Préparation aux brèches et exercices :
    Effectuez des exercices de préparation aux brèches et des scénarios simulés pour doter les équipes des compétences nécessaires pour réagir efficacement aux incidents de ransomware potentiels.
  • Vérification de la source :
    Authentifiez rigoureusement les sources du logiciel avant l’installation pour éviter l’incorporation par inadvertance d’outils compromis.
  • Gestion rigoureuse des privilèges d’utilisateur :
    Appliquez des protocoles de privilèges d’utilisateur rigoureux pour minimiser les possibilités d’attaque.

 

Conclusion :

L’émergence du ransomware Sphynx par ALPHV/BlackCat souligne le paysage dynamique et évolutif des menaces de ransomware. Avec ses fonctionnalités avancées, ses stratégies d’infection innovantes et son engagement croissant auprès des affiliés, cette nouvelle itération pose un risque important pour les organisations du monde entier.

Pour assurer une défense solide contre les attaques de ransomware et protéger les données critiques et la continuité opérationnelle, les entreprises doivent mettre en œuvre les mesures de sécurité recommandées.

Gardez une longueur d’avance sur les cybermenaces émergentes en restant informé et vigilant.

Découvrez notre section dédiée aux renseignements sur les cybermenaces, où vous trouverez des informations cruciales sur les menaces les plus récentes ainsi que des stratégies concrètes pour sécuriser vos actifs numériques. Visitez notre page sur les renseignements sur les cybermenaces.

 

Obtenez un devis

Articles similaires

Hitachi Systems Trusted Cyber Management annonce fièrement la nomination de Gajen Kandiah au poste de président de son conseil d'administration

22 janvier 2024
SANTA CLARA, CALIFORNIE - 22 janvier 2024 - Hitachi Systems Trusted Cyber Management (HSTCM) est ravi d'annoncer la nomination de Gajen Kandiah en tant que nouveau président du conseil d'administration, à compter du 1er janvier 2024. Kandiah succède à Shin Kuno, qui occupait le poste depuis septembre 2022.
En savoir plus

Renforcez votre cyberrésilience : L’impact des simulations « Purple Team »

29 novembre 2023
À une époque où les cyberattaques sont devenues une réalité inévitable, les organisations sont confrontées à la menace constante des failles de sécurité. Systèmes de sécurité Hitachi est à l'avant-garde de la lutte contre ce défi grâce à une approche innovante : la simulation « Purple Team ». Cette méthode de formation et de test en matière […]
En savoir plus

Protégez votre commerce en ligne et vos clients ce Vendredi fou

21 novembre 2023
Alors que le Vendredi fou bat son plein, les entreprises qui exploitent des plateformes de commerce électronique se retrouvent au premier rang de la frénésie des achats en ligne. Alors que les consommateurs s'empressent de saisir vos offres du Vendredi fou, on ne saurait trop insister sur l'importance de rester vigilant. L'essor des achats en […]
En savoir plus
phone-handsetcrossmenu