Numéro : AL23-010
Date : Le 25 juillet 2023
Auditoire
La présente alerte s’adresse aux professionnelles et professionnels et aux gestionnaires des TI.
Objet
Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.
Détails
Le Centre de la sécurité des télécommunications (CST) et son Centre canadien pour la cybersécurité (Centre pour la cybersécurité) sont au courant d’incidents dans le cadre desquels les systèmes des victimes ont été infectés par le rançongiciel ALPHV/BlackCat. En date du 24 juillet 2023, des incidents liés à ALPHV/BlackCat ont touché de multiples secteurs au Canada et ailleurs dans le monde.
Le Centre pour la cybersécurité estime que ces incidents sont presque certainement motivés par l’appât du gain et ne démontrent aucune tendance à la victimisation qui suggère un ciblage délibéré. Le Centre pour la cybersécurité estime qu’ALPHV/BlackCat et ses groupes affiliés choisissent très probablement leurs victimes en fonction des possibilités. De janvier 2022 à juin 2023, ALPHV/BlackCat est responsable d’une part considérable des incidents liés à des rançongiciels au Canada qui ont été attribués à des auteures ou auteurs précis et dont le Centre pour la cybersécurité est au courant. ALPHV/BlackCat représente une menace pour les organisations canadiennes depuis au moins janvier 2022 et continuera fort probablement de représenter une menace pour les organisations canadiennes et internationales au cours de la deuxième moitié de 2023.
En 2023, BlackBerry a publié un article donnant des détails sur le maliciel BlackCatNote de bas de page 1. Dans son rapport, l’entreprise indique que BlackCat cible le plus souvent des entreprises des secteurs financier, manufacturier, juridique et des services professionnels, mais les exploits de BlackCat s’étendent à toutes les industries. Dans ses campagnes, BlackCat a souvent recours à des tactiques d’extorsion triple : demandes individuelles de rançon pour décrypter des fichiers infectés, pour ne pas publier des données volées et pour ne pas lancer des attaques par déni de service.
Le Centre pour la cybersécurité continue de surveiller les activités ayant des répercussions sur les victimes de rançongiciel au Canada et fournira d’autres indicateurs techniques ainsi que des conseils et une orientation à mesure qu’ils seront disponibles. Le Centre pour la cybersécurité fournit les tactiques, techniques et procédures (TTP) suivantes et les indicateurs de compromission ci-joints, qui sont liés aux activités qui lui ont récemment été signalées, afin de fournir aux responsables de la défense des réseaux des techniques pour mieux protéger ces derniers. Tous les partenaires gouvernementaux et non gouvernementaux sont aussi invités à adopter les pratiques exemplaires en matière de cybersécurité afin de protéger leurs environnements.Note de bas de page 2
Tactiques, techniques, et procédures (TTP)
Les techniques MITRE ATT&CK suivantes utilisées par les auteurs de menace Note de bas de page 3 ont été signalées au Centre pour la cybersécurité ou référencées dans des sources ouvertes. Elles sont fournies pour décrire l’activité signalée. MITRE fournit aux exploitants des systèmes les stratégies de détection et d’atténuation nécessaires pour mieux protéger leurs systèmes réseau. Ces ressources sont présentées dans la section des références du présent alerte.
Accès initial
Les auteurs de menace auraient utilisé de multiples formes de piratage psychologique pour accéder à des justificatifs d’identité. Ils auraient autre autres utilisé des courriels d’hameçonnage et des messages texte contenant des liens menant vers des pages d’hameçonnage de justificatifs d’identité ciblées, et auraient appelé des utilisatrices et utilisateurs pour tenter d’obtenir leurs justificatifs d’identité.Note de bas de page 4
- T1586 – Comptes compromis
- T1566 – Hameçonnage
Les auteurs de menace auraient aussi contourné l’authentification multifacteur (AMF) en utilisant diverses méthodes, dont le pollupostage d’AMF et le piratage psychologique.Note de bas de page 4
- T1111 - Interception de l’authentification multifacteur
Élévation des privilèges
À la suite de la compromission initiale, les auteurs de menace auraient aussi utilisé divers outils de surveillance et de gestion à distance pour établir une présence persistante, dont plusieurs sont des produits commerciaux qui permettent d’éviter toute détection.Note de bas de page 4 Les auteurs de menace auraient aussi compromis des comptes privilégiés dans le cadre de leur accès initial.
- TA0004 – Élévation de privilèges
Commande et contrôle (C2)
À la suite de la compromission initiale, les auteurs de menace auraient aussi utilisé divers outils de surveillance et de gestion à distance pour établir une présence persistante, dont plusieurs sont des produits commerciaux qui permettent d’éviter toute détection.Note de bas de page 4
- T1219 – Logiciel d’accès à distance
Balayage
À la suite de la compromission initiale, les auteurs de menace auraient utilisé divers outils pour analyser des dispositifs RDP et SMB sur le réseau.Note de bas de page 5
- T1135 – Découverte de partage de réseau
- T1046 – Découverte de services réseau
Persistance
Les auteurs de menace auraient ajouté leurs propres jetons d’authentification multifacteur à des comptes d’utilisateur existants. Ils peuvent ainsi établir une présence persistante tout en évitant la détection.Note de bas de page 4
- T1098.005 - Manipulation de compte : Enregistrement de dispositifs
Les auteurs de menace auraient aussi ajouté des domaines fédérés à Azure AD pour établir une présence persistante.
- T1484.002 – Modification de la stratégie de domaine Modification de l’approbation de domaine
Les auteurs de menace auraient aussi utilisé des tâches planifiées pour établir une présence persistante.Note de bas de page 5
- T1053.005 – Tâche planifiée : Tâche planifiée
Pour établir une présence persistante, les auteurs de menace auraient aussi utilisé divers outils de surveillance et de gestion à distance, dont plusieurs sont des produits commerciaux qui permettent d’éviter toute détection.Note de bas de page 4
- T1219 – Logiciel d’accès à distance
Les auteurs de menace auraient aussi exploité des logiciels de gestion continue de la configuration comme Ansible pour établir une présence persistante. Ces outils sont exploités pour réinfecter de nouveaux systèmes automatiquement.
- T1525 - Image d’implantation interne
Déplacement dans le réseau
Pour se déplacer latéralement dans le réseau, les auteurs de menace auraient utilisé des outils de gestion comme Microsoft InTune et WSUS.
- T1072 - Outils de déploiement de logiciels
Les auteurs de menace auraient utilisé des connexions RDP pour voler davantage de justificatifs d’identité au moyen de l’extraction en masse LSASS.Note de bas de page 6
- T1021.001 - Services à distance : Protocole RDP (Remote Desktop Protocol)
Empêchement et entrave des efforts de reprise
Pour empêcher et entraver les efforts de reprise, les auteurs de menace auraient supprimé les sauvegardes et instantanés de machine virtuelle. Ils auraient également supprimé des sauvegardes de clichés instantanés Windows pendant le processus de chiffrement.Note de bas de page 1
- T1490 – Empêcher la reprise d’un système
Mesures recommandées
Le Centre pour la cybersécurité recommande aux organisations de prendre les mesures suivantes :
- Prendre connaissance des indicateurs de compromission ci-joints et des TTP ci‑dessus pour déterminer si des activités connexes se sont produites. Si des activités ont été détectées et qu’une compromission a eu lieu :
- Réinitialiser les systèmes compromis.
- Réinitialiser tous les justificatifs d’identité potentiellement compromis.
- Prendre connaissance des techniques et des méthodes d’atténuation liées à MITRE ATT&CKNote de bas de page 3 pour réduire la possible exposition aux menaces.
De plus, le Centre pour la cybersécurité recommande fortement aux organisations de mettre en œuvre les 10 mesures de sécurité des TI Note de bas de page 2 du Centre pour la cybersécurité, mais surtout celles liées aux sujets suivants :
- Sensibilisation à l’hameçonnage. Il s’agit de pouvoir repérer l’hameçonnage, mais aussi de savoir quoi faire si l’on reçoit un courriel d’hameçonnage.
- Le Centre pour la cybersécurité a fait paraître plusieurs publications sur la sensibilisation à l’hameçonnageNote de bas de page 7Note de bas de page 8Note de bas de page 9.
- Contrôles techniques de l’hameçonnage.
- Authentification multifacteur.
- Favoriser l’utilisation de jetons matériels pour les systèmes ou les comptes sensibles ou essentiels.
- Mettre en vigueur la gestion des privilèges d’administrateur.
- Minimiser le nombre d’administrateurs et de rôles privilégiés.
- Mener les activités d’administrateur sur des dispositifs gérés, renforcés et désignés qui disposent d’un accès limité aux courriels, à la navigation Web et à la connectivité extérieure.
- Mettre en œuvre l’intégrité par deux personnes au moment de réinitialiser les comptes d’administrateur pour minimiser les activités de piratage psychologique.
- Gestion et contrôles de l’accès à distance.
- Segmentation réseau et zones démilitarisées (ZD).
- Configurer les pare-feu de manière à contrôler et à surveiller sélectivement le trafic qui passe entre les zones.
- Contrôles de gestion et de déploiement de logiciels.
- Planification de la continuité des activités testée et validée.
- Passer en revue le Guide sur les rançongiciels (ITSM.00.099) du Centre pour la cybersécurité et appliquer les contrôles de sécurité recommandés.Note de bas de page 10
Si les destinataires relèvent des activités semblables aux informations fournies dans la présente alerte, ils sont invités à le signaler par l’entremise de Mon cyberportail ou par courriel à contact@cyber.gc.ca.
Indicateurs de compromission
Le Centre pour la cybersécurité publie les indicateurs de compromission (IC) suivants associés aux activités d’ALPHV/BlackCat. Le Centre pour la cybersécurité tient à souligner qu’il est possible que certains des indicateurs réseau fournis soient utilisés à des fins légitimes. La présence de connexions à ces indicateurs réseau n’indique pas nécessairement qu’un système a été compromis, mais il conviendra de mener une enquête afin de vérifier l’intégrité des systèmes.
Comme ces indicateurs peuvent également s’appliquer à des infrastructures et à des logiciels légitimes, il est important de vérifier les services d’entreprise et les environnements réseau avant de mettre en œuvre des mécanismes de blocage fondés sur ces indicateurs.
| Indicateur | Type | Notes |
|---|---|---|
| fleetdeck_agent_svc.exe | nom de fichier | FLEETDECK |
| njmatio0.fdx.cmd | nom de fichier | Scripts d’auteur de menace (njmatio0) |
| privacy.sexy | nom de fichier | Scripts d’auteur de menace (désactivent MDE) |
| run-{B9184FF9-B695-4605-B649-BF3A488E9BF5}-v3854.exe | nom de fichier | ALPHV |
| run-{B9184FF9-B695-4605-B649-BF3A488E9BF5}-v3857.exe | nom de fichier | ALPHV |
| [REDACTED]_non_employee_pcs__onprem__azure__aws__mk2_locker_windows32 (1).zip | nom de fichier | ALPHV |
| [REDACTED]_non_employee_pcs__onprem__azure__aws__mk2_locker_windows32(1).zip | nom de fichier | ALPHV |
| [REDACTED]_non_employee_pcs__onprem__azure__aws__mk2_locker_windows32.zip | nom de fichier | ALPHV |
| WhenTheyCry0.ps1 | nom de fichier | Scripts d’auteur de menace (WhenTheyCry0.ps1) |
| Win - [REDACTED] - Dynamically Set Time Zone | nom de fichier | Scripts Intune malveillants |
| Win10 - CloudPC - Teams WebRTC Plugin | nom de fichier | Scripts Intune malveillants |
| Win - [REDACTED] - Zscaler Remediation v4 | nom de fichier | Scripts Intune malveillants |
| Win10 - WKSConfig - Add [REDACTED]Admin10 | nom de fichier | Scripts Intune malveillants |
| WindowsDefenderATPOffboardingScript_valid_until_2023-07-23.cmd | nom de fichier | Scripts d’auteur de menace (désactivent MDE) |
| WindowsDefenderATPOffboardingScript_valid_until_2023-07-24.cmd | nom de fichier | Scripts d’auteur de menace (désactivent MDE) |
| C:\ATP.cmd | chemin d’accès de fichier | Scripts d’auteur de menace (désactivent MDE) |
| C:\forti.exe | chemin d’accès de fichier | FLEETDECK |
| C:\fortis.exe | chemin d’accès de fichier | ALPHV |
| C:\fortiss.bat | chemin d’accès de fichier | Scripts d’auteur de menace (désactivent MDE) |
| C:\Program Files (x86)\FleetDeck Agent\fleetdeck_agent_svc.exe | chemin d’accès de fichier | FLEETDECK |
| C:\Users\Arssvc\downloads\24hours.exe | chemin d’accès de fichier | Exécutables d’auteur de menace (24hours.exe) | L’auteur de menace a créé l’utilisateur ARSSCV |
| C:\Users\[REDACTED]\AppData\Local\VirtualStore\Program Files (x86)\FleetDeck Agent\credentials.json | chemin d’accès de fichier | FLEETDECK |
| C:\Users\[REDACTED]\AppData\Local\VirtualStore\Program Files (x86)\FleetDeck Agent\deployment.json | chemin d’accès de fichier | FLEETDECK |
| C:\Users\[REDACTED]\AppData\Local\VirtualStore\Program Files (x86)\FleetDeck Agent\latest.json | chemin d’accès de fichier | FLEETDECK |
| C:\Users\[REDACTED]\AppData\Local\VirtualStore\Program Files (x86)\FleetDeck Agent\z7RvqxPCGUS2jCWMFVomadRMQD6C.txt | chemin d’accès de fichier | FLEETDECK |
| C:\Users\[REDACTED]\Downloads\FFjEqOaD6jGqN9upnK00kAbxWNH2FFXYuW.exe | chemin d’accès de fichier | ALPHV |
| C:\Windows\System32\Tasks\privacy.sexy | chemin d’accès de fichier | Scripts d’auteur de menace (désactivent MDE) |
| C:\Packages\Plugins\Microsoft.CPlat.Core.RunCommandWindows\1.1.15\Downloads\script0.ps1 | chemin d’accès de fichier | [nil] |
| C:\Packages\Plugins\Microsoft.CPlat.Core.RunCommandWindows\1.1.15\Downloads\ygkmZF5i4UtMWqDE6V3J.txt | chemin d’accès de fichier | [nil] |
| C:\Packages\Plugins\Microsoft.CPlat.Core.RunCommandWindows\1.1.15\JN3x4VqhB81TOXBUl0JRfERIWjoCs.txt | chemin d’accès de fichier | [nil] |
| C:\Packages\Plugins\Microsoft.CPlat.Core.RunCommandWindows\1.1.15\bin\g2dF1nbbDK3vpS9A4AxMNvIzQeqZx.txt | chemin d’accès de fichier | [nil] |
| C:\Packages\Plugins\Microsoft.CPlat.Core.RunCommandWindows\1.1.15\RuntimeSettings\sCgJDQc9XLmMC0TYUnemYl.txt | chemin d’accès de fichier | [nil] |
| C:\Packages\Plugins\Microsoft.CPlat.Core.RunCommandWindows\1.1.15\Downloads\UyRsql4uhjaYT5Lm2wM.txt | chemin d’accès de fichier | [nil] |
| C:\Packages\Plugins\Microsoft.CPlat.Core.RunCommandWindows\1.1.15\Status\3XjHpEDkYDxh7GzUuVhwN7k6xCjKCU.txt | chemin d’accès de fichier | [nil] |
| C:\Packages\Plugins\Microsoft.CPlat.Core.RunCommandWindows\1.1.15\Status\aatftpKN1N46jZeJTPV.txt | chemin d’accès de fichier | [nil] |
| 2uee6idu7qoaqdata000.blob.core.windows[.]net | FQDN | Scripts d’auteur de menace (désactivent MDE) |
| fleetdeck[.]io | FQDN | FLEETDECK |
| gofile[.]io | FQDN | Infrastructure d’auteur de menace |
| level[.]io | FQDN | LEVEL.IO |
| pinyin-[REDACTED].s3.us-west-2.amazonaws[.]com | FQDN | Infrastructure d’auteur de menace |
| privacy[.]sexy | FQDN | Scripts d’auteur de menace (désactivent MDE) |
| storjshare[.]io | FQDN | Infrastructure d’auteur de menace |
| [REDACTED]-sso[.]com | FQDN | Infrastructure d’auteur de menace |
| temp[.]sh | FQDN | Infrastructure d’auteur de menace |
| 162.33.179[.]114 | IPv4 | UPDATE.EXE |
| 193.149.187[.]213 | IPv4 | Infrastructure d’auteur de menace |
| 4.157.42[.]62 | IPv4 | Infrastructure d’auteur de menace |
| 40.88.54[.]192 | IPv4 | Infrastructure d’auteur de menace |
| 52.188.53[.]135 | IPv4 | Infrastructure d’auteur de menace |
| 206.188.196[.]78 | IPv4 | Infrastructure d’auteur de menace |
| 193.149.187[.]213 | IPv4 | Infrastructure d’auteur de menace |
| 45.154.138[.]39 | IPv4 | Infrastructure d’auteur de menace |
| 47.154.86[.]24 | IPv4 | Infrastructure d’auteur de menace |
| 67.216.143[.]42 | IPv4 | Infrastructure d’auteur de menace |
| 29efd64dd3c7fe1e2b022b7ad73a1ba5 | MD5 | MIMIKATZ |
| 3c5a420aed54867a0fd0d373637595d2 | MD5 | FLEETDECK |
| 44eee3d7f6d60f3390c68ad3f1cb1b77 | MD5 | ALPHV |
| 4b940893856bbde6c7c587d7e10ec4d1 | MD5 | Scripts d’auteur de menace (désactivent MDE) |
| 4bfe8fafe03fe781f75c375bdade54f7 | MD5 | FLEETDECK |
| 60cf9dfc495e4bd99e31b2b6079f654e | MD5 | Scripts Intune malveillants |
| 61b13d54c8dda98b7aa13e75abfdbd12 | MD5 | UPDATE.EXE |
| 7f4c0d171e104eea3c48e03ade1ec68a | MD5 | Scripts Intune malveillants |
| 825e125eb34abb8197178ed10d5452d5 | MD5 | ALPHV |
| adc52a4c68173dce2733dbfe45c5ebe9 | MD5 | Scripts Intune malveillants |
| bbeb9589a0f406d0d4921df68641ccf1 | MD5 | Scripts Intune malveillants |
| cc51281a38bdc87a7ad0e4b612181ced | MD5 | ALPHV |
| d2848456bc6fc3bdccf6998befeced4b | MD5 | Scripts d’auteur de menace (désactivent MDE) |
| 1c939f39a93aa425f857f76a8072ef0e43153ed0 | SHA1 | ALPHV |
| 48579f02785e022db5d31c229be8b9a098134d95 | SHA1 | Scripts Intune malveillants |
| 6f464abe5f9591b3786f21ef911fc6cd1f717131 | SHA1 | Scripts d’auteur de menace (désactivent MDE) |
| 9d966e90c1c6bc7100e9b089fe6c8ce52a6b379c | SHA1 | Scripts d’auteur de menace (désactivent MDE) |
| a9ed0ca8e08cf1e7569fcda769351850c748d681 | SHA1 | ALPHV |
| b2cfe7344875528ce6bf64719c7eadadffb3e567 | SHA1 | FLEETDECK |
| b6da15fb313b3c7d66923f6144bac69aa19e74d1 | SHA1 | Scripts Intune malveillants |
| bd53bd285071966d8799e5d9ceaa84a0b058a4fb | SHA1 | Scripts Intune malveillants |
| c219e7bee1cb92e2026a81ac333cd6f439a077b2 | SHA1 | FLEETDECK |
| d278d06db4e1b8a6379308a797c0304676a30e10 | SHA1 | UPDATE.EXE |
| d34043b44a7405e1359ef5f4dbebd09f324d9645 | SHA1 | ALPHV |
| e3b6ea8c46fa831cec6f235a5cf48b38a4ae8d69 | SHA1 | MIMIKATZ |
| eb410e312adadda3a3d13c608b8bb5ef7ecb812c | SHA1 | Scripts Intune malveillants |
| 140bcad5397858a7fa35a79dba4cd83decd4ae2927a22983218b3a0efebd8b9e | SHA256 | Scripts d’auteur de menace (njmatio0) |
| 1c2fbab9c849db1e8d8f26d217a7434aad3cab45b6f3c6c2de81b548220779fd | SHA256 | Scripts Intune malveillants |
| 20529bcdc538cc28303300bab95b9daeb07264cf7ccdef837f87e26ea2a4f23f | SHA256 | Scripts d’auteur de menace (désactivent MDE) |
| 234f8d70d92dde7d8f5edee2d3b3152214ef0b86c8e7c30274371fa9880243e6 | SHA256 | ALPHV |
| 243e1d202848ae99d8ee7a13f08316a8f0d37db93379df2fcbae7ff82754d89e | SHA256 | ALPHV |
| 25e6fef0dce4e0f6260442b164ce7305561223429771b96f7448db8f337955cb | SHA256 | ALPHV |
| 61c0810a23580cf492a6ba4f7654566108331e7a4134c968c2d6a05261b2d8a1 | SHA256 | MIMIKATZ |
| 84d33d77ea225839f0f2e473e20108e77f8a3e2a125eac844dc85116ef9792f5 | SHA256 | FLEETDECK |
| 85ba48604d680d2786f485d70a6892dcf059c646e28b0a9befe530f9e3e459a5 | SHA256 | Scripts Intune malveillants |
| b6bb576e3dd58f09218cf455d94e4db253af5f244f70f88abd78af0dc29c1246 | SHA256 | Scripts Intune malveillants |
| bfa3cf521eefaaecc5d54028b3c12ea571033d4fe98e94d0031912b55071357b | SHA256 | ALPHV |
| c97641412ba384933dae4d4de377bc57bd0c9cd6d17b52a9a38c7c9a6eadd64c | SHA256 | Scripts d’auteur de menace (désactivent MDE) |
| da8c1976b9756cfb9afdcb4eaca193f411f96cee65835a87b3efb3423b33810b | SHA256 | Scripts d’auteur de menace (WhenTheyCry0.ps1) |
| df1f54952d918b1ddabf543ac50c2dafbca7aad2e5681824c0d1a44416da9c1d | SHA256 | Scripts Intune malveillants |
| e616846973de11765207dddbdf7712a74b2d804a08b65badb47f9ef09a640d4f | SHA256 | FLEETDECK |
| e7e8a15588225ae93f2ebc91769352de0d48bfdcfcb93718e66119eb23dee976 | SHA256 | UPDATE.EXE |
| f51166cf076d96c47b5c2ba22e65903b21e4d6735e585e1c51f796108a0a54f9 | SHA256 | ALPHV |
Techniques MITRE ATT&CK
- ID: T1586.002 – Comptes compromis : Comptes de courriel
- ID: T1586 – Comptes compromis
- ID: T1566 – Hameçonnage
- ID: T1111 - Interception de l’authentification multifacteur
- ID: TA0004 – Élévation de privilèges
- ID: T1219 – Logiciel d’accès à distance
- ID: T1135 – Découverte de partage de réseau
- ID: T1046 – Découverte de services réseau
- ID: T1098.005 - Manipulation de compte : Enregistrement de dispositifs
- ID: T1484.002 – Modification de la stratégie de domaine Modification de l’approbation de domaine
- ID: T1053.005 – Tâche planifiée : Tâche planifiée
- ID: T1219 – Logiciel d’accès à distance
- ID: T1525 - Image d’implantation interne
- ID: T1072 - Outils de déploiement de logiciels
- ID: T1021.001 - Services à distance : Protocole RDP (Remote Desktop Protocol)
- ID: T1490 – Empêcher la reprise d’un système