{"id":160852,"date":"2025-10-14T07:16:54","date_gmt":"2025-10-14T14:16:54","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=160852"},"modified":"2025-10-17T09:17:12","modified_gmt":"2025-10-17T16:17:12","slug":"anatomy-of-an-attack-blacksuit-ransomware-blitz","status":"publish","type":"post","link":"https:\/\/unit42.paloaltonetworks.com\/fr\/anatomy-of-an-attack-blacksuit-ransomware-blitz\/","title":{"rendered":"Anatomie d\u2019une attaque\u00a0: \u00ab\u00a0BlackSuit\u00a0Blitz\u00a0\u00bb chez un \u00e9quipementier mondial"},"content":{"rendered":"

<\/a>Unit\u00a042 a r\u00e9cemment assist\u00e9 un grand fabricant victime d\u2019une attaque par ransomware d\u2019envergure orchestr\u00e9e par Ignoble\u00a0Scorpius<\/a>, le groupe responsable de la distribution du ransomware\u00a0BlackSuit. Cet incident rappelle combien un probl\u00e8me apparemment mineur \u2013\u00a0ici, un seul jeu d\u2019identifiants\u00a0VPN compromis\u00a0\u2013 peut d\u00e9clencher une crise d\u2019entreprise majeure et peser lourdement sur le r\u00e9sultat net.<\/p>\n

<\/a>L\u2019attaque\u00a0: une combinaison de reconnaissance et de ransomware<\/h2>\n

L\u2019op\u00e9ration d\u2019Ignoble\u00a0Scorpius a d\u00e9but\u00e9 par un appel d\u2019hame\u00e7onnage vocal (vishing). L\u2019attaquant s\u2019est fait passer pour le service d\u2019assistance informatique de l\u2019entreprise et a tromp\u00e9 un employ\u00e9, qui a saisi ses identifiants\u00a0VPN l\u00e9gitimes sur un site de phishing.<\/p>\n

Avec ces identifiants, l\u2019acteur de la menace a obtenu un acc\u00e8s initial au r\u00e9seau puis a imm\u00e9diatement escalad\u00e9 ses privil\u00e8ges. Il a ex\u00e9cut\u00e9 une attaque\u00a0DCSync<\/a> contre un contr\u00f4leur de domaine pour voler des identifiants hautement privil\u00e9gi\u00e9s, dont un compte de service critique. En utilisant ces identifiants compromis, les cyber attaquants<\/span> ont pivot\u00e9 lat\u00e9ralement sur le r\u00e9seau via RDP et SMB, s\u2019appuyant sur des outils comme Advanced IP Scanner et SMBExec pour cartographier l\u2019infrastructure et identifier des cibles \u00e0 forte valeur.<\/p>\n

Ils ont \u00e9tabli une persistance en d\u00e9ployant AnyDesk et un RAT personnalis\u00e9 sur un contr\u00f4leur de domaine, configur\u00e9 comme t\u00e2che planifi\u00e9e afin de survivre aux red\u00e9marrages. Il est important de pr\u00e9ciser que les acteurs de la menace d\u00e9tournent fr\u00e9quemment des produits l\u00e9gitimes tels qu\u2019AnyDesk \u00e0 des fins malveillantes. Cela ne signifie en aucun cas que le produit l\u00e9gitime pr\u00e9sente une faille de s\u00e9curit\u00e9. Les attaquants ont ensuite compromis un second contr\u00f4leur de domaine, dont ils ont extrait la base de donn\u00e9es\u00a0NTDS.dit<\/span> contenant l\u2019ensemble des empreintes de mots de passe des utilisateurs. Ils ont exfiltr\u00e9 plus de 400\u00a0Go de donn\u00e9es \u00e0 l\u2019aide d\u2019un utilitaire\u00a0rclone<\/span> renomm\u00e9. Pour effacer leurs traces, ils ont d\u00e9ploy\u00e9 CCleaner afin de supprimer les preuves forensiques, avant de porter le coup final\u00a0: le ransomware\u00a0BlackSuit, orchestr\u00e9 via Ansible, qui a simultan\u00e9ment chiffr\u00e9 des centaines de machines virtuelles sur pr\u00e8s de 60\u00a0h\u00f4tes VMware\u00a0ESXi, provoquant une interruption massive des op\u00e9rations \u00e0 l\u2019\u00e9chelle de toute l\u2019infrastructure.<\/p>\n

<\/a>Comment Unit\u00a042 est intervenue<\/h2>\n

Lorsque Unit\u00a042 a \u00e9t\u00e9 sollicit\u00e9e, nous avons aid\u00e9 le client \u00e0 \u00e9tendre le d\u00e9ploiement de Cortex\u00a0XDR, passant de 250 \u00e0 plus de 17\u00a0000\u00a0terminaux. Cette extension a permis d\u2019obtenir une visibilit\u00e9 compl\u00e8te \u00e0 l\u2019\u00e9chelle de l\u2019entreprise, afin de suivre chacun des mouvements de l\u2019attaquant. Nous avons \u00e9galement exploit\u00e9 Cortex\u00a0XSOAR pour automatiser les actions de confinement, stoppant ainsi la propagation de l\u2019attaque.<\/p>\n

Notre enqu\u00eate a permis d\u2019identifier l\u2019int\u00e9gralit\u00e9 du chemin d\u2019attaque et de formuler plusieurs recommandations essentielles\u00a0:<\/p>\n