Introduction
Le monde de la cybersécurité est en émoi suite à la récente attaque du gang de ransomware BlackCat qui utilise désormais un encrypteur Sphynx sophistiqué pour cibler le stockage Azure de Microsoft. Dans cet article, nous plongeons profondément dans les détails techniques de cette attaque et explorons les moyens de défense disponibles pour les entreprises.
Détails techniques de l'attaque
L'attaque a été orchestrée en utilisant des comptes Microsoft volés, permettant aux attaquants d'accéder et d'encrypter le stockage cloud Azure des victimes. Le nouvel encrypteur Sphynx a joué un rôle crucial dans cette attaque, facilitant le mouvement latéral à travers les réseaux compromis grâce à l'intégration d'outils de hacking tels que Remcom et le framework Impacket.
Les attaquants ont pu désactiver la protection contre les altérations et modifier les politiques de sécurité après avoir accédé au compte Sophos Central de la victime avec un OTP volé. Ils ont utilisé une variante de Sphynx qui supporte l'utilisation de credentials personnalisés, une technique qui a augmenté leur taux de succès dans l'encryption des comptes de stockage Azure, affectant un total de 39 comptes. Source
Injection de clés Azure
Les clés Azure volées ont été injectées dans le binaire du ransomware après avoir été encodées en Base64, offrant un accès sans restriction aux comptes de stockage ciblés. Cette méthode d'attaque souligne l'importance d'une gestion sécurisée des clés et des credentials.
Préoccupé par la sécurité de vos données numériques ?
Obtenez en 3 min un audit gratuit.
Obtenir mon auditHistorique du groupe BlackCat
Initialement connu sous le nom de DarkSide, le groupe BlackCat a gagné en notoriété après avoir compromis le Colonial Pipeline, attirant ainsi l'attention des agences internationales de maintien de l'ordre. Malgré un changement de nom et une interruption temporaire de leurs opérations, ils continuent d'innover, introduisant des méthodes d'extorsion plus sophistiquées et des API pour faciliter la diffusion des données volées.
Votre PME utilise Azure ? Ce que cet incident signifie pour vous
Si votre PME utilise Azure pour héberger des machines virtuelles, du stockage ou des applications, vous êtes potentiellement concerné. L'attaque BlackCat montre que le cloud n'est pas sécurisé par défaut — Microsoft gère l'infrastructure, mais vous êtes responsable de la configuration et des accès.
Les erreurs les plus courantes des PME sur Azure
| Erreur | Risque | Solution |
|---|---|---|
| Pas de MFA sur les comptes admin | Accès total en cas de vol d'identifiants | MFA obligatoire via accès conditionnel |
| Clés de stockage dans le code | Vol de données, chiffrement ransomware | Azure Key Vault + rotation automatique |
| Pas de surveillance des connexions | Intrusion non détectée pendant des semaines | SOC 24/7 avec alertes Microsoft Sentinel |
| Sauvegardes dans le même tenant | Ransomware chiffre aussi les sauvegardes | Sauvegarde externalisée hors tenant |
| Secure Score sous 50% | Surface d'attaque maximale | Audit + plan de remédiation |
Ce que Dhala met en place pour sécuriser votre Azure
Notre offre de sécurisation Azure couvre exactement les vecteurs exploités par BlackCat :
- Accès conditionnel Entra ID : MFA obligatoire, blocage pays, appareils conformes
- Surveillance SOC 24/7 : détection des connexions suspectes et des exfiltrations
- Gestion des clés : rotation automatique, Azure Key Vault, pas de clés en clair
- Sauvegarde externalisée : PRA hors du tenant Azure principal
- Hardening : Secure Score cible > 80%, politiques de sécurité appliquées
Le tout intégré dans notre offre d'infogérance à partir de 79€/poste/mois.
Comparatif : Azure non sécurisé vs Azure avec Dhala
| Critère | Azure "out of the box" | Azure sécurisé par Dhala |
|---|---|---|
| Secure Score | ~30% (moyenne PME) | > 80% |
| MFA admin | Optionnel | Obligatoire + FIDO2 |
| Surveillance | Aucune | SOC 24/7 |
| Temps de détection d'intrusion | 200+ jours (IBM) | < 1 heure |
| Sauvegarde ransomware-proof | Non | Oui (hors tenant) |
| Coût d'une compromission | 50 000-500 000€ | Quasi nul |
Comment les attaquants ont-ils réussi à accéder aux comptes Azure et quelles méthodes ont-ils utilisées ?
Qu'est-ce que l'encrypteur Sphynx et comment est-il utilisé dans les attaques de ransomware ?
Comment les entreprises peuvent-elles se prémunir contre des attaques sophistiquées de cybersécurité ?
Ce qu'il faut retenir
L'attaque BlackCat/Sphynx prouve qu'aucun cloud n'est sécurisé par défaut. Les PME qui migrent vers Azure sans sécuriser leur environnement s'exposent aux mêmes attaques que les grandes entreprises — avec moins de moyens pour s'en remettre.
La bonne nouvelle : sécuriser Azure pour une PME n'est ni complexe ni ruineux quand c'est fait par un prestataire spécialisé.
