![[Rumeur]Nova 10 Series : en attendant la présentation le 4 Juillet 2022, les smartphones se dévoilent !](https://blog.sosordi.net/wp-content/uploads/2022/07/huawei_nova-10-pro_vue-bis-330x180.png?x85312 "[Rumeur]Nova 10 Series : en attendant la présentation le 4 Juillet 2022, les smartphones se dévoilent !")
![[Rumeur]Nothing : en attendant les révélations instinctives du 12 Juillet 2022, les prix et les spécificités techniques du Nothing Phone (1) se dévoilent !](https://blog.sosordi.net/wp-content/uploads/2022/06/nothing_phone-1_noir-330x180.png?x85312 "[Rumeur]Nothing : en attendant les révélations instinctives du 12 Juillet 2022, les prix et les spécificités techniques du Nothing Phone (1) se dévoilent !")
![[MAJ 26 / 05] Build 2022 : l’essentiel des annonces et nouveautés de Microsoft !](https://blog.sosordi.net/wp-content/uploads/2022/05/microsoft_build-2022-1-330x180.png?x85312 "[MAJ 26 / 05] Build 2022 : l’essentiel des annonces et nouveautés de Microsoft !")
36.png){kind=small}
Tags populaires
0
Dans un billet sécuritaire, Microsoft confirme, indirectement, des exploits potentiels pouvant instiller BlackCat, un ransomware-as-a-service (RaaS) connu au bataillon depuis Novembre 2021. Conçu sous langage Rust, l’éditeur a observé des exploits effectifs sous terminaux Windows, Linux voire sous instances VMWare.
“BlackCat peut cibler et chiffrer les appareils Windows et Linux et les instances VMware. Il a des capacités étendues, y compris l’auto-propagation configurable par un affilié pour leur utilisation et l’environnement rencontré“, tout en déployant les capacités suivantes :
- Arrêt du service + chiffrement données,
- Suppression des mises à jour,
- Suppression shadowcopy,
- Ex-filtration de l’UUID,
- Contournement de l’UAC (User Account Control),
- Ex-filtration des informations-système (et du domaine),
- Vérification du NBNC pour interroger les terminaux en réseau,
- Modification de la base de registre (MaxMpxCt),
- Effacement intégral des logs (event),
- Autorisation des liens remote-to-local,
- Partage-Réseau.
Les PoC ou “cas d’études” de Microsoft démontre une viralité sous Exchange depuis un terminal non-mis à jour, ce qui permet un mouvement latéral avant la collecte et l’ex-filtration de données. Un autre PoC met en avant une intrusion sécuritaire via des identifiants compromis (authentification faciale par Remote Desktop) ce qui permettra également la même finalité que ci-avant avec, en but ultime, le chiffrement des données du serveur.
Selon les investigations de Microsoft, avant le déploiement global de BlackCat courant Décembre 2021 (effectif), les cyber-attaquants DEV-0504 ont usités les ransomwares BlackMatter, Conti, LockBit v2.0, Revil et Ryuk contre Ryuk, Conti et Hive pour les cyber-attaquants DEV-0237… A veiller !
Source : Blog Microsoft Security – 13 Juin 2022 – BlackCat : 2 PoCs ou exploits (deux groupes de cyber-attaquants) sous Exchange.
