{"id":18784,"date":"2022-04-21T09:00:54","date_gmt":"2022-04-21T07:00:54","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=18784"},"modified":"2022-04-21T09:00:54","modified_gmt":"2022-04-21T07:00:54","slug":"black-cat-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/black-cat-ransomware\/18784\/","title":{"rendered":"BlackCat \u2014 un nouvel acteur dans le monde des ransomwares"},"content":{"rendered":"<p>Aucun march\u00e9 n\u2019aime les temps morts et cela s\u2019applique aussi aux ransomwares, ou ran\u00e7ongiciels. Apr\u00e8s que les groupes BlackMatter et REvil ont interrompu leurs op\u00e9rations, l\u2019apparition de nouveaux acteurs n\u2019\u00e9tait qu\u2019une question de temps. Et aujourd\u2019hui nous voulons vous parler de l\u2019un d\u2019eux. En d\u00e9cembre dernier, des publicit\u00e9s qui promouvaient les services du groupe ALPHV, aussi connu comme BlackCat, sont apparues sur les forums de cybercriminels. Apr\u00e8s plusieurs incidents, nos experts de l\u2019\u00e9quipe GReAT (Global Research and Analysis Team) ont d\u00e9cid\u00e9 d\u2019analyser de plus pr\u00e8s l\u2019activit\u00e9 de ce groupe et de publier un rapport d\u00e9taill\u00e9 sur notre <a href=\"https:\/\/securelist.com\/a-bad-luck-blackcat\/106254\/\" target=\"_blank\" rel=\"noopener\">site Securelist<\/a>.<\/p>\n<p>Dans leurs publicit\u00e9s, les cybercriminels disaient qu\u2019ils avaient \u00e9tudi\u00e9 les erreurs et les probl\u00e8mes de leurs pr\u00e9d\u00e9cesseurs et qu\u2019ils avaient cr\u00e9\u00e9 une version am\u00e9lior\u00e9e du programme malveillant. Pourtant, certains indices laissent croire qu\u2019ils pourraient \u00eatre plus proches des groupes BlackMatter et REvil que ce qu\u2019ils disent.<\/p>\n<h2>Qui est le groupe BlackCat et quels sont les outils utilis\u00e9s ?<\/h2>\n<p>Les cr\u00e9ateurs du ransomware BlackCat proposent des services de type Ransomware-as-a-Service (RaaS). En d\u2019autres termes, ils autorisent les autres cybercriminels \u00e0 acc\u00e9der \u00e0 leur infrastructure et \u00e0 leur code malveillant en \u00e9change d\u2019un certain pourcentage de la ran\u00e7on. En plus de \u00e7a, il est fort probable que les membres du groupe BlackCat soient responsables des n\u00e9gociations avec les victimes. Ainsi, la seule chose que leur \u00a0\u00bb\u00a0franchis\u00e9\u00a0\u00a0\u00bb doit faire est d\u2019acc\u00e9der \u00e0 l\u2019environnement de l\u2019entreprise. C\u2019est gr\u00e2ce \u00e0 ce principe selon lequel le groupe \u00a0\u00bb\u00a0a tout ce dont vous avez besoin\u00a0\u00a0\u00bb que BlackCat s\u2019est fait conna\u00eetre si rapidement\u00a0: leur malware est d\u00e9j\u00e0 utilis\u00e9 pour attaquer des entreprises dans le monde entier.<\/p>\n<p>L\u2019arsenal de BlackCat comprend plusieurs \u00e9l\u00e9ments. Le premier est un outil de chiffrement du m\u00eame nom. Il est cod\u00e9 en Rust, ce qui a permis aux cybercriminels de cr\u00e9er un outil multiplateforme avec des versions du malware qui fonctionnent sous Windows et Linux.<\/p>\n<p>Ensuite, on trouve l\u2019outil Fendr, utilis\u00e9 pour extraire les donn\u00e9es de l\u2019infrastructure infect\u00e9e. L\u2019utilisation de cet outil sugg\u00e8re que BlackCat pourrait simplement \u00eatre un changement d\u2019image de la faction BlackMatter, puisque ce groupe \u00e9tait le seul \u00e0 utiliser cet outil aussi connu comme ExMatter.<\/p>\n<p>BlackCat se sert aussi de l\u2019outil PsExec pour les mouvements lat\u00e9raux dans le r\u00e9seau de la victime. Il s\u2019agit de Mimikatz, un logiciel de piratage tr\u00e8s c\u00e9l\u00e8bre, et du programme Nirsoft pour extraire les mots de passe du r\u00e9seau.<\/p>\n<p>Vous pouvez trouver plus d\u2019informations techniques sur les m\u00e9thodes et les outils utilis\u00e9s par BlackCat, ainsi que sur les indicateurs de compromission, dans cet <a href=\"https:\/\/www.kaspersky.com\/blog\/anti-ransomware-strategy\/44082\/\" target=\"_blank\" rel=\"noopener nofollow\">article publi\u00e9 sur Securelist<\/a>.<\/p>\n<h2>Qui sont les victimes de BlackCat ?<\/h2>\n<p>Parmi les incidents provoqu\u00e9s par le ransomware BlackCat, nos experts ont constat\u00e9 qu\u2019au moins une entreprise industrielle en Am\u00e9rique du Sud, qui travaille dans le p\u00e9trole, le gaz, le minage et la construction, a \u00e9t\u00e9 victime de ce malware. De plus, plusieurs clients d\u2019une entreprise qui propose des services de planification des ressources au Moyen-Orient ont \u00e9t\u00e9 infect\u00e9s.<\/p>\n<p>L\u2019\u00e9volution de Fendr est un des points les plus troublants. Pour le moment, l\u2019outil peut automatiquement t\u00e9l\u00e9charger un \u00e9ventail de fichiers beaucoup plus large que lors des attaques pr\u00e9c\u00e9dentes du groupe BlackMatter. Les cybercriminels ont r\u00e9cemment ajout\u00e9 la possibilit\u00e9 de trouver les fichiers avec les extensions suivantes\u00a0: .sqlite, .catproduct, .rdp, .accdb, .catpart, .catdrawing, .3ds, .dwt and .dxf. Ces fichiers sont associ\u00e9s aux applications de design industriel et aux outils d\u2019acc\u00e8s \u00e0 distance, ce qui pourrait indiquer que les cr\u00e9ateurs du malware veulent s\u2019en prendre aux environnements industriels.<\/p>\n<h2>Comment vous prot\u00e9ger ?<\/h2>\n<p>Afin d\u2019\u00e9viter que votre entreprise ne perde des informations importantes, nous vous conseillons avant tout de prot\u00e9ger tous les dispositifs de votre entreprise en installant des <a href=\"https:\/\/www.kaspersky.fr\/small-to-medium-business-security?icid=fr_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">solutions de s\u00e9curit\u00e9 fiables<\/a>. Ensuite, vous devez former r\u00e9guli\u00e8rement vos <a href=\"https:\/\/k-asap.com\/fr\/?icid=fr_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder____kasap___\" target=\"_blank\" rel=\"noopener\">employ\u00e9s pour qu'ils connaissent les principes de base en s\u00e9curit\u00e9 des informations<\/a>.<\/p>\n<p>L\u2019activit\u00e9 Ransomware-as-a-Service ne cesse d\u2019augmenter et votre entreprise doit \u00eatre pr\u00eate en cas d\u2019incident et doit avoir une <a href=\"https:\/\/www.kaspersky.fr\/blog\/anti-ransomware-strategy\/18740\/\" target=\"_blank\" rel=\"noopener\">strat\u00e9gie anti-ransomware<\/a> \u00e0 plusieurs niveaux.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-ransomware\">\n","protected":false},"excerpt":{"rendered":"<p>Nos experts ont analys\u00e9 l\u2019activit\u00e9 et les outils du ransomware cr\u00e9\u00e9 par le groupe BlackCat.<\/p>\n","protected":false},"author":2581,"featured_media":18787,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150,3151],"tags":[3090,353],"class_list":{"0":"post-18784","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-outils-de-chiffrement","11":"tag-ransomware"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/black-cat-ransomware\/18784\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/black-cat-ransomware\/24055\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/black-cat-ransomware\/19541\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/black-cat-ransomware\/26379\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/black-cat-ransomware\/24326\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/black-cat-ransomware\/24673\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/black-cat-ransomware\/27085\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/black-cat-ransomware\/33086\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/black-cat-ransomware\/10634\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/black-cat-ransomware\/44120\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/black-cat-ransomware\/19314\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/black-cat-ransomware\/28475\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/black-cat-ransomware\/24954\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/black-cat-ransomware\/30406\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/black-cat-ransomware\/30174\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/ransomware\/","name":"ransomware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/18784","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=18784"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/18784\/revisions"}],"predecessor-version":[{"id":18789,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/18784\/revisions\/18789"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/18787"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=18784"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=18784"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=18784"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}