BlackLock : le ransomware qui pourrait dominer 2025
Préparez-vous, car un nouveau géant du cybercrime est en train de monter sur le trône : BlackLock. Ce ransomware, apparu discrètement en mars 2024, est en passe de devenir le groupe le plus prolifique de l'année 2025. Ses tactiques innovantes et son organisation implacable le placent en tête de liste des menaces à surveiller de près. On vous explique pourquoi.
Une ascension fulgurante
L'année 2024 a vu l'émergence de nombreux groupes de ransomware, mais BlackLock se distingue par sa croissance exponentielle. Selon plusieurs sources, dont ReliaQuest, son activité a explosé de 1425% au dernier trimestre de l'année. Cette augmentation vertigineuse laisse présager une année 2025 sous haute tension.
BlackLock, aussi connu sous les noms d'El Dorado ou Eldorado, n'est pas un simple groupe de pirates. Il s'agit d'une opération Ransomware-as-a-Service (RaaS) parfaitement rodée, recrutant activement des affiliés et bénéficiant d'une solide réputation sur le forum RAMP, une plateforme de référence dans le monde du cybercrime.
Des tactiques innovantes et efficaces
Ce qui rend BlackLock si dangereux, ce ne sont pas seulement ses chiffres impressionnants, mais aussi ses méthodes sophistiquées. Voici quelques-unes de ses caractéristiques clés :
- Double extorsion : comme de nombreux autres ransomwares, BlackLock chiffre les données des victimes et menace de les publier si la rançon n'est pas payée.
- Malware sur mesure : au lieu d'utiliser des outils existants comme Babuk ou LockBit, BlackLock développe son propre malware. Ceci rend son analyse bien plus difficile pour les chercheurs en sécurité.
- Site de fuite de données renforcé : le site web utilisé par BlackLock pour diffuser les données volées est conçu pour compliquer le travail des chercheurs et des victimes. Des mécanismes de détection des requêtes et des réponses de fichiers frauduleuses rendent l'accès aux données volées plus difficile. « Si les organisations victimes ne peuvent pas évaluer l'ampleur de leurs violations, elles se sentiront plus pressées de payer une rançon », explique ReliaQuest.
- Recrutement agressif : BlackLock recrute activement des intermédiaires, des développeurs et des courtiers d'accès initial (IABs). Son approche est même différenciée selon les profils recherchés.
L'importance du recrutement stratégique
La stratégie de recrutement de BlackLock est particulièrement intéressante. L'entreprise recrute activement deux types de profils :
- Traffickers: Ce sont les recrues chargées de mener les premières étapes des attaques, orientant les victimes vers des logiciels malveillants. BlackLock les recrute ouvertement, privilégiant la rapidité à la sécurité opérationnelle.
- Développeurs et programmeurs: Pour ces postes plus sensibles, le recrutement est beaucoup plus discret. Les détails et les CV sont partagés en privé, témoignant d'un niveau de confiance accru et d'une attention particulière à la sécurité.
Microsoft Entra Connect dans le viseur
Les experts en cybersécurité sonnent l'alarme : BlackLock pourrait bien s'attaquer à Microsoft Entra Connect en 2025. Des publications sur le forum RAMP suggèrent que le groupe étudie activement la possibilité d'exploiter les mécanismes de synchronisation de Microsoft Entra Connect pour compromettre les environnements sur site. « Pour les organisations gérant plusieurs domaines sous un même locataire Entra, cette tactique crée un risque important d'escalade des privilèges et le potentiel d'une violation majeure », prévient ReliaQuest.
Comment se protéger de BlackLock ?
Face à cette menace grandissante, il est crucial de renforcer ses défenses. Voici quelques conseils :
- Activer l'authentification multifacteur (MFA) : une première étape essentielle pour renforcer la sécurité.
- Désactiver le protocole RDP sur les systèmes non essentiels : limiter l'accès aux systèmes critiques.
- Sécuriser les environnements ESXi : désactiver les services de gestion inutilisés et configurer un mode de verrouillage strict.
- Durcir les règles de synchronisation des attributs dans Microsoft Entra Connect.
- Surveiller et restreindre les enregistrements de clés.
- Appliquer des stratégies d'accès conditionnel.
BlackLock représente une menace sérieuse et évolutive. La vigilance et l'adaptation constante de ses stratégies de sécurité sont primordiales pour les organisations. L'avenir nous dira si BlackLock tiendra sa promesse de devenir le groupe de ransomware le plus actif de 2025, mais une chose est sûre : la menace est réelle et mérite une attention particulière.
