Les autorités fédérales publient un avis détaillant BlackMatter Ransomware

  • Français


  • Parallèlement aux cyberattaques, l’émergence de divers groupes de cybercriminels s’est généralisée ces derniers temps. Plusieurs gouvernements à travers le monde mettent en place des mesures de sécurité avancées pour faire face à l’évolution des groupes d’acteurs menaçants. Récemment, la Cybersecurity and Infrastructure Security Agency (CISA), la National Security Agency (NSA) et le FBI ont publié conjointement un avis de cybersécurité sur le tristement célèbre groupe de ransomware BlackMatter, avec des informations sur ses tactiques, techniques et procédures (TTP).

    BlackMatter Ransomware

    Actif depuis juillet 2021, BlackMatter est un ransomware-as-a-service (Raas) qui permet aux acteurs de la menace et aux affiliés cybercriminels de déployer des ransomwares sur les appareils des victimes ciblées. Les opérateurs BlackMatter ont ciblé plusieurs infrastructures critiques aux États-Unis et ont exigé des paiements de rançon allant de 80 000 $ à 15 000 000 $ en Bitcoin et Monero. Le groupe a également utilisé des informations d’identification intégrées et précédemment compromises pour accéder illégalement à Active Directory (AD) afin de découvrir tous les hôtes sur le réseau ciblé.

    Les opérateurs ont récemment compromis et infecté les systèmes réseau de NEW et ont demandé une rançon de 5,9 millions de dollars pour restaurer les systèmes concernés. L’attaque a affecté les opérations de plusieurs silos de stockage de céréales et des activités agricoles, provoquant de graves perturbations dans la chaîne d’approvisionnement alimentaire.

    Comment détecter BlackMatter Ransomware

    L’avis a dévoilé deux signatures Snort qui aident à détecter les activités réseau liées à BlackMatter.

    1. Règle du système de détection d’intrusion :

    alert tcp any any -> any 445 (msg : “tentative de cryptage à distance BlackMatter” ; contenu :”|01 00 00 00 00 00 05 00 01 00|” ; contenu :”|2e 00 52 00 45 00 41 00 44 00 4d 00 45 00 2e 00 74 00|”; distance:100; detection_filter: track by_src, count 4, seconds 1; priority:1; sid:11111111111;)

    1. Règle du système de prévention des intrusions en ligne :

    alert tcp any any -> any 445 (msg : “tentative de cryptage à distance BlackMatter” ; contenu :”|01 00 00 00 00 00 05 00 01 00|” ; contenu :”|2e 00 52 00 45 00 41 00 44 00 4d 00 45 00 2e 00 74 00|”; distance:100; priorité:1; sid:10000001;) rate_filter gen_id 1, sig_id 10000001, track by_src, count 4, seconds 1, new_action unlock, timeout 86400

    Répondre aux attaques de ransomware

    En cas d’incident de ransomware, les agences fédérales ont recommandé aux organisations de :

    • Suivez la liste de contrôle de réponse aux ransomwares dans le guide conjoint des ransomwares CISA-Multi-State Information Sharing and Analysis Center (MS-ISAC).
    • Analysez les sauvegardes avec un programme antivirus pour vérifier qu’il est exempt de logiciels malveillants.
    • Signalez immédiatement les incidents au FBI dans un bureau local du FBI, à la CISA sur uscert.cisa.gov/report ou aux services secrets américains dans un bureau local des services secrets américains.
    • Appliquer les meilleures pratiques de réponse aux incidents trouvées dans les approches conjointes consultatives et techniques pour découvrir et corriger les activités malveillantes, développées par la CISA et les autorités de cybersécurité de l’Australie, du Canada, de la Nouvelle-Zélande et du Royaume-Uni

    Atténuer la BlackMatter

    Les agences ont exhorté les administrateurs de sécurité et les organisations, en particulier dans le secteur des infrastructures critiques, à appliquer les mesures d’atténuation suivantes et à réduire le risque de compromission par le ransomware BlackMatter :

    • Mettre en œuvre les signatures de détection identifiées
    • Activez l’authentification multifacteur pour tous les services dans la mesure du possible, en particulier pour la messagerie Web, les réseaux privés virtuels et les comptes qui accèdent aux systèmes critiques
    • Gardez tous les systèmes d’exploitation et logiciels à jour
    • Supprimer les accès inutiles aux partages administratifs
    • Mettre en œuvre la segmentation du réseau et la surveillance de la traversée
    • Appliquer les politiques et procédures de sauvegarde et de restauration

    « Les attaques de ransomware contre des entités d’infrastructure critiques pourraient affecter directement l’accès des consommateurs aux services d’infrastructure critiques ; par conséquent, la CISA, le FBI et la NSA exhortent toutes les organisations, y compris les organisations d’infrastructures critiques, à mettre en œuvre les recommandations énumérées dans la section Atténuations de cet avis conjoint. Ces mesures d’atténuation aideront les organisations à réduire le risque de compromission des attaques par ransomware BlackMatter », indique l’avis.

    Source

    L'équipe de Comparaland

    L'équipe rédactionnnelle du site

    Pour contacter personnellement le taulier :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *