Le rapport analyse en détail les techniques utilisées par les groupes de ransomware les plus actifs (Conti, Lockbit, Hive, BlackCat, etc.). Ces groupes suivent généralement le même schéma d’attaque : ils commencent par pénétrer les réseaux via des failles non corrigées (ProxyShell, Fortinet…), des services exposés comme le RDP, ou [...]
Le rapport décrit les opérations du ransomware BlackSuit, un groupe criminel qui cible les organisations en compromettant leurs réseaux avant de chiffrer les données et d’exfiltrer des informations sensibles. BlackSuit fonctionne comme un ransomware sophistiqué inspiré de Royal ransomware, utilisant des méthodes avancées pour contourner les défenses, notamment l’exploitation de vulnérabilités, l’accès via des identifiants compromis et la désactivation des outils de sécurité. Le document souligne que le groupe adapte continuellement ses techniques et ses infrastructures pour éviter la détection.
Une fois l’accès initial obtenu, les acteurs malveillants procèdent à une reconnaissance approfondie, se déplacent latéralement dans le réseau et escaladent les privilèges pour atteindre les systèmes critiques. Ils utilisent des outils légitimes détournés (Living-Off-The-Land), comme PowerShell, WMI ou RDP, afin de masquer leurs activités. Avant de lancer le chiffrement, ils exfiltrent les données vers leurs serveurs, puis suppriment ou altèrent les sauvegardes pour empêcher toute récupération. Le rapport détaille également les indicateurs de compromission (IOCs) observés dans les incidents liés à BlackSuit et Royal.
Enfin, le document propose plusieurs mesures de défense essentielles : segmentation des réseaux, application rapide des correctifs, durcissement des accès RDP, activation de l’authentification multifactorielle, surveillance renforcée des comportements suspects et mise en place de sauvegardes hors ligne régulièrement testées. Il recommande aussi l’utilisation d’outils de détection avancés basés sur les comportements et la préparation d’un plan de réponse aux incidents. L’objectif est de permettre aux organisations de réduire les risques, détecter plus rapidement les intrusions et limiter l’impact d’une attaque ransomware.
