« BlackSuit Blitz » : une attaque dévastatrice contre un fabricant mondial d’équipements
Le groupe Ignoble Scorpius, opérant le rançongiciel BlackSuit, a récemment frappé un grand fabricant international, selon une analyse de Unit 42 (Palo Alto Networks). L’incident, baptisé “BlackSuit Blitz”, illustre comment une simple compromission d’identifiants VPN peut déclencher une crise d’entreprise majeure.
Du vishing à l’exfiltration de 400 Go
L’attaque a débuté par un appel de hameçonnage vocal (vishing) : un employé, pensant parler au support interne, a saisi ses identifiants VPN sur un faux portail.
À partir de là, les assaillants ont :
- Exécuté une attaque DCSync sur le contrôleur de domaine pour voler des identifiants à haut privilège.
- Utilisé RDP et SMB avec des outils comme Advanced IP Scanner et SMBExec pour explorer le réseau.
- Maintenu un accès persistant via AnyDesk et un RAT personnalisé configuré en tâche planifiée.
- Compromis un second DC et exfiltré plus de 400 Go de données via rclone (renommé).
- Effacé leurs traces avec CCleaner, avant de déployer BlackSuit ransomware via Ansible, chiffrant simultanément des centaines de VM sur 60 hôtes VMware ESXi.
🛠️ L’intervention de Unit 42
L’équipe Unit 42 a :
- Étendu le déploiement de Cortex XDR de 250 à 17 000 endpoints pour une visibilité complète.
- Utilisé Cortex XSOAR pour automatiser la confinement des menaces.
- Formulé des recommandations clés :
- Réseau : remplacer les pare-feu Cisco ASA obsolètes par des NGFW, segmenter le réseau, isoler les DC/ESXi.
- Identité : activer MFA sur tous les accès distants, désactiver NTLM, restreindre l’usage des comptes de service.
- Endpoints : bloquer EFSRPC pour éviter les attaques PetitPotam/DCSync, maintenir un XDR à jour, retirer les systèmes EOL.
- Journalisation : conserver 90 jours de logs, activer la validation CloudTrail, et surveiller ESXi, firewalls et NAS.
💡 Résultats et enseignements
- 💰 Aucune rançon payée — la demande initiale de 20 millions $ a été annulée.
- 👁️ Visibilité accrue : extension de la surveillance sur l’ensemble du parc.
- 🧭 Renforcement stratégique : recommandations sur mesure et adoption du MDR Unit 42 pour une supervision continue.
🧠 Leçons clés
Cette attaque prouve qu’un seul identifiant compromis peut suffire à déstabiliser une multinationale.
Les tactiques rapides et coordonnées du groupe Ignoble Scorpius démontrent la nécessité :
- d’une MFA systématique sur tous les accès distants,
- d’une visibilité unifiée des endpoints,
- et d’une réponse automatisée et orchestrée.
L’investissement dans la prévention et la détection proactive reste la stratégie la plus rentable face aux coûts colossaux d’une paralysie complète.
Source : Preston Miller – Unit 42, Palo Alto Networks, “Anatomy of an Attack: The BlackSuit Blitz at a Global Equipment Manufacturer”, 14 octobre 2025.
Il s’agit d’un rapport d’incident visant à documenter chronologiquement les techniques et l’impact de l’attaque.
🔗 Source originale : https://unit42.paloaltonetworks.com/anatomy-of-an-attack-blacksuit-ransomware-blitz/