Netcrook Logo
đŸ‘€ TRUSTBREAKER
đŸ—“ïž 15 Apr 2026   đŸ—‚ïž Cyber Warfare    

Rançongiciel déguisé : comment Black Shrantac détourne les réseaux industriels avec des outils du quotidien

Le groupe de rançongiciel Black Shrantac exploite des logiciels de confiance et la double extorsion pour dévaster discrÚtement des organisations à travers le monde.

Dans l’univers obscur de la cybercriminalitĂ©, un nouvel adversaire a Ă©mergĂ© avec un arsenal Ă©trangement familier : vos propres outils rĂ©seau. Black Shrantac, un groupe de rançongiciel en pleine Ă©volution, rĂ©Ă©crit les rĂšgles de l’extorsion numĂ©rique en lançant des attaques furtives qui se fondent parfaitement dans les opĂ©rations informatiques quotidiennes. Leur arme de prĂ©dilection ? Les mĂȘmes logiciels et utilitaires d’administration qui assurent le bon fonctionnement des entreprises.

Contrairement aux groupes de rançongiciel traditionnels qui s’appuient sur des malwares sur mesure, les opĂ©rations de Black Shrantac sont presque invisibles. Selon une rĂ©cente analyse de Marlink, leurs attaques commencent par l’exploitation de failles graves - comme la tristement cĂ©lĂšbre CVE-2024-3400 - dans des Ă©quipements rĂ©seau obsolĂštes. Une fois Ă  l’intĂ©rieur, ils dĂ©posent des mises Ă  jour logicielles trojanisĂ©es dans des portails de confiance, piĂ©geant les administrateurs pour qu’ils installent les outils d’accĂšs Ă  distance du groupe.

Leur mode opĂ©ratoire est un vĂ©ritable manuel de la tromperie : Black Shrantac dĂ©sactive systĂ©matiquement les dĂ©fenses de sĂ©curitĂ© - utilisant PowerShell pour arrĂȘter Microsoft Defender et des dĂ©sinstalleurs officiels pour supprimer les protections des terminaux - le tout sous de nouveaux comptes de domaine crĂ©Ă©s pour l’occasion. En utilisant des outils commerciaux comme SimpleHelp et Net Monitor, leur trafic de commande et contrĂŽle ressemble Ă  une activitĂ© d’administration de routine, Ă©chappant ainsi Ă  la vigilance de la plupart des Ă©quipes de sĂ©curitĂ©.

La marque de fabrique du groupe est la « double extorsion ». D’abord, ils exfiltrent discrĂštement des donnĂ©es sensibles, puis dĂ©ploient un rançongiciel pour chiffrer les systĂšmes. Les victimes font face Ă  un choix cruel : payer pour restaurer l’accĂšs et empĂȘcher la divulgation de leurs secrets sur le dark web, ou risquer une exposition publique et des consĂ©quences rĂ©glementaires. Black Shrantac fait monter la pression en divulguant des Ă©chantillons de donnĂ©es volĂ©es sur un site Tor dĂ©diĂ©, incitant les organisations Ă  cĂ©der.

Leurs mĂ©thodes sont sophistiquĂ©es mais pragmatiques. La reconnaissance s’effectue avec des scanners rĂ©seau portables et lĂ©gitimes ; les dĂ©placements latĂ©raux s’appuient sur Remote Desktop Protocol, PSExec, et mĂȘme des outils basĂ©s sur VNC - tous ayant des usages professionnels plausibles. Le chiffrement est exĂ©cutĂ© avec plusieurs binaires en parallĂšle, augmentant les chances de succĂšs mĂȘme si certaines dĂ©fenses tiennent bon.

L’utilisation par le groupe de messageries chiffrĂ©es et peer-to-peer pour les nĂ©gociations de rançon rend toute intervention des forces de l’ordre quasiment impossible. Les conclusions de Marlink soulignent que mĂȘme le paiement de la rançon n’offre aucune garantie de confidentialitĂ© : les donnĂ©es volĂ©es peuvent tout de mĂȘme refaire surface, aggravant les dĂ©gĂąts.

L’ascension de Black Shrantac sonne comme un signal d’alarme pour les dĂ©fenseurs. Leur approche disciplinĂ©e et mĂ©thodique - fondĂ©e sur des tactiques de « vivre sur la terre » - signifie que les outils de sĂ©curitĂ© traditionnels ne suffisent plus. Les organisations doivent redoubler d’efforts sur les fondamentaux : corriger les vulnĂ©rabilitĂ©s, appliquer une hygiĂšne rigoureuse des identitĂ©s, surveiller toute activitĂ© d’administration non autorisĂ©e et garantir la robustesse des sauvegardes. Dans cette nouvelle Ăšre de cybercriminalitĂ©, la vigilance et les bases restent la meilleure dĂ©fense contre des attaquants qui se cachent Ă  la vue de tous.

WIKICROOK

  • Living off the Land (LOTL) : Le « Living Off the Land » (LOTL) est une mĂ©thode de piratage oĂč les attaquants utilisent des outils systĂšme lĂ©gitimes pour dissimuler des activitĂ©s malveillantes et Ă©chapper Ă  la dĂ©tection par les dispositifs de sĂ©curitĂ©.
  • Double extorsion : La double extorsion est une tactique de rançongiciel oĂč les attaquants chiffrent les fichiers et volent Ă©galement des donnĂ©es, menaçant de les divulguer si la rançon n’est pas payĂ©e.
  • CVE (Common Vulnerabilities and Exposures) : Un CVE est un identifiant public unique pour une vulnĂ©rabilitĂ© de sĂ©curitĂ© spĂ©cifique, permettant un suivi et une discussion cohĂ©rents dans l’industrie de la cybersĂ©curitĂ©.
  • Commande : Une commande est une instruction envoyĂ©e Ă  un appareil ou Ă  un logiciel, souvent par un serveur C2, lui ordonnant d’effectuer des actions spĂ©cifiques, parfois Ă  des fins malveillantes.
  • MĂ©canisme de persistance : Un mĂ©canisme de persistance est une mĂ©thode utilisĂ©e par les malwares pour rester actifs sur un systĂšme, survivant aux redĂ©marrages et aux tentatives de suppression par les utilisateurs ou les outils de sĂ©curitĂ©.
Black Shrantac Ransomware Cybercrime
TRUSTBREAKER TRUSTBREAKER
Zero-Trust Validation Specialist
← Back to news