Dans son dernier rapport sur les ransomwares, Fortinet a analysé le mode de fonctionnement et décrit les dommages de ces deux malwares qui ciblent l’OS de Microsoft, le plus répandu dans le monde. L’écosystème des groupes de pirates est en perpétuel mouvement, ainsi Black Basta est attribué à un développeur de FIN7 par SentinelLabs. Ce ransomware aurait compromis et volé les données d'un sous-traitant du gouvernement américain et d'une entreprise américaine du secteur de l'aérospatiale et de la défense à la fin de 2022. Selon The Guardian, une cyberattaque due à Black Basta a couté 25 millions de livres à l'entreprise d'externalisation de services londonienne Capita. Suite à l’attaque, la suite bureautique Microsoft Office 365 a été compromise avec exfiltration de données. Au total, on dénombre plus de 200 victimes en Amérique du Nord et en Europe. Plus de 60 % des victimes présumées sont des organisations nord-américaines. L'Allemagne arrive loin derrière avec 15 %, suivie du Canada avec environ 6 %.
Ce malware est un Ransomware-as-a-Service (RaaS), imitation quasi parfaite d’un service légal avec une infrastructure pour le traitement des paiements et la négociation des rançons, ainsi qu'une assistance technique aux affiliés. Black Basta est écrit sous forme d'un exécutable Windows, plus récemment sous forme de DLL Windows et enfin sous forme d'exécutable Linux.
Big Head se fait passer pour une mise à jour Windows
FortiGuard Labs a publié en mai 2023, une note sur une nouvelle variante de rançongiciel appelée Big Head, moins répandu que Black Basta et qui se décline sous la forme d‘au moins trois variantes. Cette menace met à profit le framework .NET de Microsoft et utilise3 codes binaires : le premier exécutable pour propager le malware, le second pour faciliter les communications sur Telegram, le dernier pour chiffrer les fichiers. De manière pernicieuse, il se présente comme une mise à jour de Windows, fausse bien entendu. Son mode d’action est classique avec la suppression des sauvegardes, l’arrêt de certaines tâches et la vérification de sa bonne exécution dans un environnement virtualisé de plusieurs processus. Il effectue aussi des vérifications pour déterminer s'il s'exécute dans un environnement virtualisé, préalablement au chiffrement des fichiers. Chacun de ces vecteurs d’attaque nécessite une attention spécifique ce qui complexifie le développement des solutions de défense.
L’origine indonésienne est supposée par les chercheurs en cybersécurité car ils ont découvert des termes appartenant à cette langue.
Fortinet distingue deux variantes de Big Head. La variante A crypte les fichiers et ouvre ensuite une note de rançon intitulée "README " demandant aux victimes de contacter l'attaquant par courrier électronique ou via Telegram pour décrypter les fichiers et restaurer les données. La variante B, utilise un fichier PowerShell appelé "cry.ps1" pour le chiffrement des fichiers. Le montant relativement bas de la rançon indique que le ransomware Big Head est utilisé pour cibler essentiellement les particuliers.
