BlackCAT est le nouveau rançongiciel le plus utilisé par les cybercriminels. Cette nouvelle forme de ransomware se distingue des autres programmes malveillants en raison de son système de codage. Ce type de virus informatique utilise un système de codage RUST pour s’adapter à n’importe quelle plateforme.

Le BlackCAT figure ainsi parmi les malwares les plus dangereux au monde. Facilitant le travail des cybercriminels, ce logiciel fonctionne aussi bien sous Windows que sous Linux. De plus, il faut noter que cet élément est parfaitement personnalisable. Cela lui permet alors d’infecter les sites d’entreprises et d’organisations internationales plus rapidement.

En effet, le BlackCAT ALPHV dispose d’un système de langage sophistiqué. Il arrive à crypter les données de ses victimes, de les verrouiller et de les prendre en otage. Les hackers n’ont plus qu’à demander une rançon à ces derniers contre une clé de décryptage.

En général, la présence de ce type de virus informatique se reconnaît facilement sur les appareils infectés.  Une fois les informations numériques codées, il est possible d’observer une extension sur les fichiers touchés. Il s’agit notamment du terme : « GET IT BACK- [file _extension]-FILES. txt ».

Le BlackCAT est un rançongiciel puissant qui utilise différentes techniques de chiffrement. Le plus important d’entre tous reste évidemment l’option « Full ». Cela permet aux cybercriminels de crypter totalement l’ensemble des fichiers. Ce système peut toutefois prendre du temps.

Pour remédier à ce problème de durée, les hackers peuvent recourir au chiffrement « Fast ». A la fois dangereux et rapide, cette version s’attaque aux N-premiers mégaoctets des données informatiques. Le « DotPattern » est une extension de ce système de cryptage. Celui-ci, pour sa part, utilise un processus de chiffrement par N mégaoctects à l’étape M.

La technique la plus utilisée reste évidemment la version « Auto » du logiciel. Sous cette fonctionnalité, le programme choisit seul le système de cryptage le mieux adapté pour un fichier. Ce dernier se détermine ensuite en fonction de la taille et du type de donnée à chiffrer. Cette option est la plus sûre, car elle offre un meilleur résultat en matière de durée de traitement du cryptage.

Aujourd’hui, les cybercriminels deviennent de plus en plus créatifs. Outre la conception de nombreux malwares, ils utilisent des techniques d’extorsion efficaces. Le plus populaire reste évidemment le système SAAS. Il s’agit d’une pratique bien préparée qui consiste à crypter seulement une partie des données de la victime. Certaines informations restent donc intactes durant l’attaque.

Plus de 60 organisations internationales ciblées par le BlackCAT/ALPHV

connect-world

Le BlackCAT/ALPHV met à mal la sécurité numérique des organisations internationales. Cela s’explique notamment par ses fonctionnalités PowerShell et Cobalt Strike. Ces derniers lui permettent de désactiver instantanément le système de sécurité du réseau d’un appareil numérique. Une fois, le pare-feu enlevé, le ransomware peut ainsi accéder aux comptes d’utilisateurs.

Selon une enquête réalisée par le FBI, le logiciel malveillant a déjà piraté plus de 60 plateformes d’organisations. Cela démontre la puissance du logiciel qui arrive à déjouer les barrières de sécurité des appareils informatiques. Il est possible de noter par exemple les attaques entre novembre 2021 et mars 2022. Durant cette période, le BlackCAT a fait d’énormes victimes à travers le monde.

D’après les experts en cybercriminalité, l’efficacité du malware en fait sa popularité auprès des hackers. Selon eux, ces malfrats collaborent aussi avec d’autres partenaires importants. C’est le cas notamment de certains rançongiciels puissants comme DarkSide.

Face à cette tendance, les spécialistes dans le la sécurité informatique invitent les victimes à informer les autorités compétentes rapidement. Malheureusement, le BlackCAT continue sa lancée et a déjà empoché entre 400 000 dollars et 3 millions de dollars de rançon. Il s’agit de chiffres qui correspondent uniquement aux infractions recensées depuis le mois de novembre.

Pour se faire payer, les pirates informatiques acceptent généralement le Bitcoin ou le Monero. Ce sont des monnaies virtuelles qui possèdent une volatilité incroyable. Toutefois, leur valeur sur le marché reste impressionnante. D’ailleurs, les victimes de piratages n’ont d’autres choix que de payer la rançon pour décrypter leurs données confidentielles infectées.

A l’heure actuelle, le ransomware BlackCAT figure parmi les bêtes noires des entreprises et organisations internationales. La plupart du temps, ce logiciel s’attaque principalement aux entités en Amérique du Sud et au Moyen Orient. Ces dernières se spécialisent souvent dans le domaine du pétrole, du gaz, du minage et de la construction.

Il faut cependant noter que le BlackCAT dispose encore d’autres atouts dans ses manches. La présence d’extension comme Sqlite, Catproduct, Rdp, Cccdb, Catpart, Catdrawing, 3ds ou Qwt le rendent plus dangereux que jamais. Ces derniers programmes laissent penser que le logiciel malveillant vise désormais les applications et le monde de l’industrie.

Le programme perfectionne son système continuellement ce qui rend le travail des spécialistes de la cybercriminalité plus difficile. Ces extensions ne sont qu’une preuve de cette évolution puisque ce sont des éléments récemment ajoutés au malware. Sans mesures adéquates, les nombreux sites gouvernementaux du monde risquent ainsi d’avoir à faire à ce ransomware.

ALPHV, une mutation de DarkSide/BlackMatter

Selon les experts en sécurité informatique, BlackCAT semble être une mutation du célèbre malware DarkSide et BlackMatter. Ce logiciel malveillant a connu quelques failles l’année dernière, ce qui explique la nouvelle dénomination. Effectivement, à l’époque, les informaticiens ont commis une erreur dans leur système de cryptage. Cela a permis à de nombreuses victimes de trouver une parade à ce rançongiciel.

Face à cet échec, le groupe responsable de cette attaque a dû se réinventer en licenciant une partie de son personnel. Il a ensuite recruté de nouveaux programmes plus performants, ce qui a entraîné la conception d’un logiciel plus efficace.

Le groupe d’experts en informatique Malware Hunter Team a baptisé le nom du virus en BlackCAT ALPHV en décembre dernier. Cela a été possible suite à la première attaque de ce logiciel malveillant en novembre par un auteur inconnu. Depuis, cette appellation a été utilisée pour distinguer ce malware des autres rançongiciels.   

Le BlackCAT fonctionne quasiment de la même manière que ses prédécesseurs DarkSide et BlackMatter. Le programme est téléchargeable en ligne uniquement par les clients de l’opérateur créateur du logiciel. Si un individu obtient l’accord de ce propriétaire, il peut alors obtenir le malware sur un portail localisé sur Tor. En acquérant ce logiciel, celui-ci peut ensuite infecter tout appareil numérique de sa cible.

D’ailleurs, le créateur de ce programme malveillant met à la disposition de ses clients une version personnalisée de BlackCAT. Ces derniers reçoivent d’ailleurs une rémunération entre 80% à 90% sur la rançon payée. Le reste de l’argent, quant à lui, revient à l’opérateur. Cela explique ainsi pourquoi ce type de logiciels enregistre de plus en plus de victimes.

Aujourd’hui, il existe même un site destiné spécialement aux victimes. La plateforme dévoile la liste des cibles n’ayant pas payé la rançon. Ce système permet d’intimider encore plus les proies de ces cybercriminels en les forçant à céder au chantage.

Malheureusement, cela semble porter ses fruits pour l’opérateur et les hackers responsables depuis la première attaque en novembre 2021. D’après une étude effectuée par des experts en sécurité informatique, seulement 13% des victimes de BlackCAT figurent sur cette liste. Cela sous-entend logiquement que les entreprises préfèrent encore payer la rançon pour préserver la confidentialité de leurs données.

Face à cette tendance, il devient alors difficile de lutter contre ces malfaiteurs du web. De plus, il est encore impossible de savoir exactement le nombre de victimes de ce logiciel.

Affaire à suivre !