Le gang de ransomware BlackCat cible le Cloud Azure.

Le ransomware BlackCat frappe Azure Storage avec le chiffreur Sphynx. Le gang de ransomwares BlackCat (ALPHV) utilise désormais des comptes Microsoft volés et le chiffreur Sphynx récemment repéré pour chiffrer le stockage cloud Azure des cibles. En enquêtant sur une récente violation, les intervenants de Sophos X-Ops ont découvert que les attaquants utilisaient une nouvelle variante de Sphynx avec une prise en charge supplémentaire pour l’utilisation d’informations d’identification personnalisées.

Les acteurs malveillants ont pu accéder au portail Azure du client, où ils ont obtenu la clé Azure requise pour accéder au compte de stockage par programmation. L’adversaire a codé les clés en base 64 et les a insérées dans le binaire du ransomware avec des lignes de commande d’exécution, comme indiqué. L’argument «-o» cible un nom de compte de stockage Azure et une clé d’accès, et le même binaire a été exécuté plusieurs fois pour cibler 39 comptes de stockage Azure uniques, ce qui a permis un chiffrement réussi.

Microsoft, le ransomware Sphynx de BlackCat embarque Impacket, RemCom. Microsoft a découvert une nouvelle version du ransomware BlackCat qui intègre le framework réseau Impacket et l’outil de piratage Remcom, tous deux permettant une propagation latérale sur un réseau piraté. En avril, le chercheur en cybersécurité VX-Underground a tweeté à propos d’une nouvelle version du chiffreur BlackCat/ALPHV appelée Sphynx.

Selon Kaspersky, BlackCat est un nouvel acteur dans le monde des ransomwares. En décembre dernier, des publicités qui promouvaient les services du groupe ALPHV, aussi connu comme BlackCat, sont apparues sur les forums de cybercriminels. Après plusieurs incidents, nos experts de l’équipe GReAT (Global Research and Analysis Team) ont décidé d’analyser de plus près l’activité de ce groupe et de publier un rapport détaillé.

Les ransomwares, ou rançongiciels, représentent une menace informatique omniprésente, ils encryptent les fichiers d'un système, exigeant une rançon pour leur déchiffrement. Ces attaques sournoises paralysent souvent les entreprises et les particuliers, causant des pertes financières et de données critiques. Les cybercriminels utilisent diverses méthodes d'infiltration, telles que des e-mails de phishing et des vulnérabilités logicielles, pour propager leurs logiciels malveillants.

De nombreuses solutions de sécurité résidentes assurent une protection en temps réel contre les rançongiciels. Mais les gangs font régulièrement évoluer leur ransomwares pour contrer les clés de déchiffrement proposées. Certains rançongiciels comme le Raas babuk sont de véritables arnaques et ne donnent pas la clé de déchiffrement après la rançon payée. Généralement les experts en sécurité et les autorités judiciaires préconisent de ne pas payer la rançon demandée.

Les conséquences des ransomwares vont au-delà de la perte de données, affectant également la réputation et la confiance des victimes. La prévention, par le biais de mises à jour régulières, de la sensibilisation à la sécurité et de solutions de sauvegarde fiables, reste essentielle pour contrer cette menace croissante.


Le cloud computing, ou l’informatique en nuage ou nuagique ou encore l’infonuagique (au Québec), est l'exploitation de la puissance de calcul ou de stockage de serveurs informatiques distants par l'intermédiaire d'un réseau, généralement internet. Ces serveurs sont loués à la demande, le plus souvent par tranche d'utilisation selon des critères techniques (puissance, bande passante, etc.) mais également au forfait. Le cloud computing se caractérise par sa grande souplesse : selon le niveau de compétence de l'utilisateur client, il est possible de gérer soi-même son serveur ou de se contenter d'utiliser des applicatifs distants en mode SaaS. Selon la définition du National Institute of Standards and Technology (NIST), le cloud computing est l'accès via un réseau de télécommunications, à la demande et en libre-service, à des ressources informatiques partagées configurables. Il s'agit donc d'une délocalisation de l'infrastructure informatique.


Sophos est une société de logiciels et d'appliances de sécurité fondée en 1985 basée à Abingdon en Angleterre. Ses fondateurs sont Jan Hruska et Peter Lammer, deux étudiants d'Oxford. Ses produits s'étendent aux antivirus, anti-spywares, anti-spam, pare-feux, UTM, gestion des flottes mobiles, et au chiffrement pour ordinateurs de bureau, serveurs, serveurs de courrier électronique, réseaux d'entreprise et passerelles. Alimenté par les renseignements sur les menaces, l'IA et l'apprentissage automatique des SophosLabs et SophosAI, Sophos propose un large portefeuille de produits et services innovants afin de garantir la sécurité des utilisateurs, des réseaux et des terminaux contre les ransomwares, les malwares, les exploits, le phishing et de nombreuses autres cyberattaques. Sophos propose un SOC moderne sous forme de service entièrement managé. Sophos MTR offre 2 niveaux de service (Standard et Advanced) pour répondre aux besoins des entreprises de toutes tailles et de tous niveaux de maturité.