kaptn - Fotolia
Ransomware : le groupe BlackMatter fait des débuts inquiétants
Le plus ancien échantillon observé suggère un début d’activité au mois de juillet. Le croisement des attaques connues avec les échantillons collectés laisse à suspecter un taux de paiement relativement faible.
Le groupe BlackMatter a fait son apparition dans le courant de l’été. Les équipes de Synetis et d’Intrinsec ont indiqué l’avoir observé contre des cibles françaises. BlackMatter a d’ailleurs été impliqué dans l’attaque menée contre La Martiniquaise. Un échantillon fait d’ailleurs directement référence à sa maison mère, la Compagnie Financière Européenne de Prises de Participation. Chez Synetis, Antoine Coutant – Practice Manager Audits SSI & CSIRT – fait état d’un mode opératoire qu’il décrit comme « plutôt violent, destructeur pour les victimes ».
En tout – et en nous appuyant sur différentes règles Yara – avec l’aide du chercheur Sébastien Larinier, nous avons trouvé près de 40 échantillons de BlackMatter correspondant à 25 victimes. Ces échantillons font remonter le début des activités offensives du groupe à la fin juillet, avec 3 victimes. La majorité des échantillons collectés datent du mois d’août, correspondant à 20 cibles différentes.
Pour mémoire, au 30 septembre, 37 attaques impliquant BlackMatter ont été identifiées. Bon nombre de ces attaques apparaissent clairement liées à des échantillons compilés au mois d’août. Pour l’heure, nous n’avons trouvé que deux échantillons compilés en septembre, et encore, en toute fin de mois.
Ces observations tendent à suggérer un groupe à la taille encore limitée, capable de lancer périodiquement une large campagne avant de se concentrer sur les négociations avec les victimes. Mais ce n’est peut-être que temporaire.
Successeur de DarkSide
Le rançongiciel de BlackMatter n’est pas totalement autonome : déployé sur sa cible, le maliciel peut communiquer avec un centre de commande et de contrôle et récupérer des données de configuration. Et cela peut inclure des identifiants de comptes, comme l’a souligné McAfee durant l’été.
Le maliciel se charge d’arrêter de nombreux processus liés à la sécurité et à la sauvegarde – y compris les agents Veeam –, notamment, tout en interrompant les shadow copies de Windows. Il efface également la corbeille des volumes accessibles, fixes comme amovibles. Le chiffrement affecte tous ces volumes, ainsi que les espaces de stockage en réseau accessibles au système de fichiers.
Les similarités avec le défunt DarkSide ont été largement soulignées. McAfee relève ainsi que les données de configuration récupérées auprès du centre de commande et de contrôle « disposent d’une structure remarquablement similaire à celle de DarkSide, offrant un indice clair que les développeurs sont les mêmes ».
Group IB a de son côté souligné les similarités des éléments cryptographiques utilisés, ainsi que plusieurs différences de fonctionnement par rapport à REvil/Sodinokibi, concluant à un « lien évident entre BlackMatter et DarkSide ». Chez Emsisoft, Fabian Wosar a abouti à la même conclusion. Pour lui, et quitte à contredire Sophos, « nous sommes confrontés à un rhabillage de DarkSide ». Même son de cloche du côté de Chainanalysis sur la base des flux financiers après paiement de la rançon. Accessoirement, certaines règles Yara conçues pour DarkSide font d’ailleurs la confusion.