La dernière édition du Ransomware Roundup de FortiGuard Labs présente Black Basta et Big Head comme de nouveaux vecteurs d’attaque. En quoi consistent-ils, quel est leur impact, comment fonctionnent-ils et qui sont les principales
victimes ?


Tous les quinze jours, FortiGuard Labs collecte des données sur l'évolution des variantes de ransomware à partir de sa base de données et de la communauté Open Source Intelligence (OSINT).

Dans sa dernière édition, FortiGuard Labs s’est focalisé sur deux ransomwares : Black Basta et Big Head.

Écrit sous forme d'exécutable Windows, plus récemment sous forme de DLL Windows et enfin sous forme d'exécutable Linux, Black Basta a fait parler de lui parce qu'il aurait compromis des organisations européennes et nord-américaines de premier plan dans divers secteurs.  

200 victimes en Amérique du Nord et en Europe

Sa première victime aurait été enregistrée en avril 2022 aux États-Unis. Depuis, Black Basta a lentement étendu ses opérations et le groupe aurait compromis et volé les données d'un sous-traitant du gouvernement américain et d'une entreprise américaine du secteur de l'aérospatiale et de la défense à la fin de 2022.

Dans le détail, plus de 25 % des victimes appartiennent aux secteurs de l'industrie manufacturière, de la construction, des services et du commerce de détail. Toutefois, 50 % des victimes appartiennent à ces quatre secteurs. Les autres secteurs touchés sont les services juridiques, les entrepôts, la finance et l'informatique.

Il s’agit d’un Ransomware-as-a-Service (RaaS), dans lequel les développeurs offrent un service de ransomware, une infrastructure pour le traitement des paiements et la négociation des rançons, ainsi qu'une assistance technique à leurs affiliés.

Black Basta utilise des techniques allant du spearphishing à l'acquisition d'un accès par l'intermédiaire d'Initial Access Brokers (IAB) pour obtenir un accès initial. L'accès est également obtenu en utilisant des logiciels malveillants d'autres groupes, tels que QakBot (QBot). L'exploitation des vulnérabilités PrintNightmare (CVE-2021-34527) et Follina
(CVE-2022-30190) a également été enregistrée.  

Fausse mise à jour Windows

De son côté Big Head présente différentes variantes dont la dernière a été repérée en mai dernier. L'une des variantes affiche une fausse mise à jour de Windows. Une autre variante présente une icône Microsoft Word et a probablement été distribuée sous la forme d'un logiciel contrefait.

Une fois exécutée, une des variantes affiche une fausse fenêtre de mise à jour de Windows pour faire croire aux utilisateurs qu'il s'agit d'une procédure légitime.

Cette fausse mise à jour de Windows dure environ 30 secondes et se ferme automatiquement. Lorsque la fausse mise à jour est terminée, le ransomware a déjà chiffré des fichiers sur les machines compromises avec des noms modifiés de manière aléatoire.

Une autre variante B utilise un fichier PowerShell appelé "cry.ps1" pour le chiffrement des fichiers. Dans certains cas, la variante B ne supprime pas cry.ps1 et le chiffrement des fichiers ne se produit pas.