L’Agence pour la cybersécurité et la sécurité des infrastructures, le Federal Bureau of Investigation et l’Agence nationale de sécurité ont publié aujourd’hui un avis contenant des détails sur le mode de fonctionnement du gang de ransomware BlackMatter.
L’avis conjoint de cybersécurité de la CISA, du FBI et de la NSA fait part des tactiques, techniques et procédures associées à l’activité de BlackMatter qui pourraient aider les organisations à se protéger contre le gang des ransomwares BlackMatter.
“Cette variante de BlackMatter exploite notamment les informations d’identification intégrées et le protocole SMB pour effectuer un chiffrement à distance, à partir de l’hôte compromis d’origine ” – avis conjoint de la CISA, du FBI et de la NSA. Le logiciel malveillant de chiffrement de fichiers BlackMatter dispose également d’une version pour les systèmes basés sur Linux qui peut chiffrer les serveurs virtuels VMware ESXi, qui sont courants dans les environnements d’entreprise à des fins de gestion des ressources.
L’avis publié aujourd’hui prévient que, contrairement à d’autres ransomwares qui chiffrent les magasins de données et les appareils de sauvegarde, la bande de BlackMatter les efface ou les reformate.
Pour contrer les attaques du ransomware BlackMatter, le CISA, le FBI et la NSA partagent un ensemble de mesures de cybersécurité qui vont de l’hygiène de base des mots de passe à des mesures d’atténuation conçues pour minimiser la surface d’attaque d’Active Directory.
BlackMatter figure parmi les principales menaces de ransomware actuelles.