Le ransomware BlackCat a chiffré les données de dizaines de comptes Azure Storage
Le gang de ransomware BlackCat (ALPHV) a utilisé des comptes Microsoft compromis pour chiffrer les données stockées sur Azure Storage à l'aide de l'outil de chiffrement Sphynx.
Récemment, l'équipe de réponse à incident Sophos X-Ops a fait cette découverte en menant des investigations sur un incident de sécurité : les cybercriminels du gang BlackCat sont parvenus à chiffrer les données d'espace de stockage Azure Storage, dans le Cloud de Microsoft. Au total, ce sont les données de 39 comptes Azure Storage différents qui ont pu être chiffrée, et les fichiers chiffrés ont hérité de l'extension .zk09cvt. Pour cela, les pirates ont utilisé une clé Azure volée qui leur a permis d'accéder aux comptes de stockage pris pour cible.
D'après Sophos, les cybercriminels ont introduit les clés Azure directement dans le binaire du ransomware nommé "IzBEIHCMxAuKmis6.exe" dans cette cyberattaque : "L'adversaire a encodé les clés en base-64 et les a insérées dans le binaire du ransomware avec des lignes de commande d'exécution."
Ce n'est pas tout puisqu'initialement, les cybercriminels ont obtenu un accès à l'interface Sophos Central après avoir compromis le compte de la victime à partir de l'extension LastPass pour Google Chrome. Pour être plus précis, c'est par ce biais qu'ils sont parvenus à voler le code OTP permettant de valider le MFA. L'occasion pour eux de modifier les politiques de sécurité et de chiffrer le système Sophos du client.
Lors de cette opération, le gang de ransomware BlackCat a utilisé son outil de chiffrement baptisé Sphynx, mis au point au février 2023 et qui offre de meilleures performances pour le chiffrement des données et une meilleure furtivité. Il intègre aussi des fonctions et outils avancés comme la suite ImPacket. De son côté, Sophos a rencontré cette nouvelle variante du ransomware pour la première fois en mars 2023, au cours d'investigations.
Une belle piqûre de rappel quant aux risques qui planent autour des espaces de stockage Cloud, au même titre que les espaces de stockage locaux.
Si ce n’était pas si grave ça prêterait à sourire.
Ca fait des années que Microsoft et ses défenseurs (coucou Practical365…) nous bassinent avec l’énooorme gain de sécurité qu’il y avait à passer sur l’offre 365 et virer ses serveurs Exchange, voire ses serveurs AD.
L’argument le plus répandu pour défendre cette position étant que sur l’offre hébergée de MS il y a des centaines (des milliers ?) d’informaticiens affectés exclusivement à la sécurité et qu’aucune société cliente de MS n’aurait les moyens de mettre une telle force dans la sécurité. Bref souscrivez à l’abonnement, ce sera « tout bénef ».
En fait c’est le contraire qui est en train de se passer : avant, les pirates devaient s’attaquer à des millions de cibles réparties partout dans le monde ce qui rendait leur tâche plus compliquée. Maintenant ils ont 1 cible : l’infra Microsoft dans laquelle tout le monde s’est déplacé. Et ils l’ont vite compris.
Depuis 1 an chaque mois apporte son lot d’attaques visant 365.
Au final le seul à avoir enregistré un bénéfice substantiel c’est MS bien entendu. De licences Office qu’on gardait 7 à 10 ans en entreprise on est passé à un abonnement qui au final nous coûte beaucoup plus cher.
Et on a quoi pour ce prix plus élevé ? Un système qui n’arrête pas de changer, des fonctionnalités qui arrivent, d’autres qui disparaissent, des bugs encore plus, et au final question sécurité on repassera…