La dernière édition du Ransomware Roundup, pour le mois de juin, présente Black Basta et Big Head comme de nouveaux vecteurs d’attaque. En quoi consistent-ils, quel est leur impact, comment fonctionnent-ils et qui sont les principales victimes ?

Black Basta

● Vue d’ensemble

Ces derniers mois, le ransomware Black Basta a fait parler de lui parce qu’il aurait compromis des organisations européennes et nord-américaines de premier plan dans divers secteurs, tels que l’externalisation, la technologie et l’industrie manufacturière.

L’histoire du ransomware Black Basta remonte au moins à avril 2022, une entreprise américaine ayant été l’une des premières victimes. Depuis, Black Basta a lentement étendu ses opérations et le groupe aurait compromis et volé les données d’un sous-traitant du gouvernement américain et d’une entreprise américaine du secteur de l’aérospatiale et de la défense à la fin de 2022.

Black Basta fonctionne sur un modèle de Ransomware-as-a-Service (RaaS), dans lequel les développeurs offrent un service de ransomware, une infrastructure pour le traitement des paiements et la négociation des rançons, ainsi qu’une assistance technique à leurs affiliés. Lorsqu’un affilié incite une victime à payer une rançon, Black Basta reçoit une part du gâteau. Les affiliés sont chargés de sélectionner les cibles, de se déplacer latéralement dans les réseaux des victimes, de voler les données et de déployer le ransomware.

● Vecteur d’infection

Black Basta utilise des techniques allant du spearphishing à l’acquisition d’un accès par l’intermédiaire d’Initial Access Brokers (IAB) pour obtenir un accès initial. L’accès est également obtenu en utilisant des logiciels malveillants d’autres groupes, tels que QakBot (QBot). L’exploitation des vulnérabilités PrintNightmare (CVE-2021-34527) et Follina (CVE-2022-30190) a également été enregistrée.

● Exécution

FortiGuard Labs sait que le ransomware Black Basta a été écrit sous forme d’exécutable Windows, plus récemment sous forme de DLL Windows et enfin sous forme d’exécutable Linux.

● Victimologie

Au cours de cette enquête, le site web Black Basta de fuites de données a indiqué plus de 200 victimes en Amérique du Nord et en Europe. Plus de 60 % des victimes présumées sont des organisations nord-américaines. L’Allemagne arrive loin derrière avec 15 %, suivie du Canada avec environ 6 %.

Nous avons divisé la liste des victimes en quatre groupes : des victimes les plus anciennes aux plus récentes. Alors que le groupe des victimes les plus anciennes comprend 12 pays, les deuxième et troisième groupes de victimes ne comprennent que huit pays. Le dernier groupe de victimes ne compte que six pays (États-Unis, Allemagne, Canada, Italie, Royaume-Uni et Slovénie), ce qui peut indiquer que les affiliés de Black Basta ont réduit leur liste de cibles.

En ce qui concerne les secteurs ciblés, plus de 25 % des victimes appartiennent aux secteurs de l’industrie manufacturière, de la construction, des services et du commerce de détail. Toutefois, 50 % des victimes appartiennent à ces quatre secteurs. Les autres secteurs touchés sont les services juridiques, les entrepôts, la finance et l’informatique. Pour en savoir plus, cliquez ici.

Big Head

● Vue d’ensemble

FortiGuard Labs a récemment découvert une nouvelle variante de ransomware appelée Big Head, qui a été publiée en mai 2023. Bien qu’il existe au moins trois variantes du ransomware Big Head, elles sont toutes conçues pour crypter les fichiers sur les appareils des victimes afin d’extorquer de l’argent, tout comme les autres variantes de ransomware.

● Vecteur d’infection

L’une des variantes du ransomware Big Head affiche une fausse mise à jour de Windows, ce qui indique que le ransomware a également pu être distribué sous la forme d’une fausse mise à jour de Windows. L’une des variantes présente une icône Microsoft Word et a probablement été distribuée sous la forme d’un logiciel contrefait.

Au moment de l’enquête, rien n’indique que Big Head soit largement répandu.

● Exécution

FortiGuard Labs a connaissance d’au moins deux variantes du ransomware Big Head, appelées variantes A et B :

Variante A

Une fois exécutée, la variante A du ransomware Big Head affiche une fausse fenêtre de mise à jour de Windows pour faire croire aux utilisateurs qu’il s’agit d’une procédure légitime.

La fausse mise à jour de Windows dure environ 30 secondes et se ferme automatiquement. Lorsque la fausse mise à jour est terminée, le ransomware a déjà chiffré des fichiers sur les machines compromises avec des noms modifiés de manière aléatoire.

Le ransomware ouvre ensuite une note de rançon intitulée "README [numéro aléatoire à sept chiffres]" qui demande aux victimes de contacter l’attaquant par courrier électronique ou Telegram pour décrypter les fichiers et restaurer les données.

Variante B

Bien que la variante B du ransomware Big Head n’ait pas chiffré de fichiers dans notre environnement de test, elle a également été conçue pour chiffrer des fichiers sur des machines compromises. Notre analyse a révélé que la variante B utilise un fichier PowerShell appelé "cry.ps1" pour le chiffrement des fichiers. Dans certains cas, la variante B ne supprime pas cry.ps1 et le chiffrement des fichiers ne se produit pas. Cependant, cela n’empêche pas la variante B de remplacer l’image du bureau par sa propre note de rançon. Comme la variante A, la note de rançon demande aux victimes de contacter l’attaquant via la même adresse électronique ou le même canal Telegram. La différence est que la note de rançon de la variante B inclut un montant de rançon en bitcoins. Le montant relativement bas de la rançon indique que le ransomware Big Head est utilisé pour cibler les consommateurs et non les entreprises.

● Victimologie

La plupart des échantillons du ransomware Big Head ont été envoyés depuis les États-Unis. D’autres ransomwares utilisés par le même attaquant ont été envoyés depuis les États-Unis, l’Espagne, la France et la Turquie.