Jonathan Greig är journalist baserad i New York City.
Fullständig beskrivning den 28 januari 2022 | Ämne: Ransomware
Palo Alto Networks Unit 42 släppte en djupdykning i BlackCat ransomware, som dök upp i mitten av november 2021 som en innovativ ransomware-as-a-service (RaaS)-grupp som utnyttjar programmeringsspråket Rust och erbjuder affiliates 80-90% av lösenutbetalningar.
I december samlade familjen ransomware, även känd som ALPHV, upp minst 10 offer, vilket gav den det sjunde största antalet offer som listades på deras läckagesida bland ransomware-grupper som spårades av Unit 42 .
Doel Santos, hotintelligensanalytiker med Unit 42, berättade för ZDNet att gruppen redan har attackerat ett brett spektrum av industrier, inklusive konstruktion och ingenjörskonst, detaljhandel, transport, kommersiella tjänster, försäkringar, maskiner, professionella tjänster, telekommunikation, bilkomponenter och läkemedel.
Förra veckan avslöjades det italienska modemärket Moncler som ett BlackCat-offer från och med december.
Förutom att den är skriven på ryska och kodad i programmeringsspråket Rust, stack den skadliga programvaran ut för Santos av ett antal andra skäl.
“Det som gör Blackcat utmärkande är användningen av deras privata åtkomstnyckel-token. De flesta av grupperna vi har tittat på tidigare inkluderar en direktlänk och nycklarna inbäddade i proverna, vilket gör det enkelt att titta på och bekräfta ransomware offer”, sa Santos.
Också: Vita huset, EPA släpper en 100-dagars cybersäkerhetsplan för vattenverksoperatörer
“Blackcat ransomware-prover gör det inte inkludera nycklarna. Istället måste de skickas in av operatören. Utan det finns det inget sätt för en extern enhet att få tillgång till sin förhandlingsplats eller identifiera offret om de inte har en exakt kopia av en lösenseddel med den exakta nyckel som används för att köra ransomware.”
Enhet 42 noterade att gruppens medlemsförbund har “tagit ett aggressivt tillvägagångssätt för att namnge och skämma ut offer, och listat mer än ett dussin på deras läckagesida på lite över en månad.”
“Det största antalet av gruppens offer hittills är amerikanska organisationer, men BlackCat och dess medlemsförbund har också attackerat organisationer i Europa, Filippinerna och andra platser”, noterade rapporten.
Enhet 42
“Användningen av BlackCat ransomware har vuxit snabbt av en rad olika anledningar (som jämförelse hade AvosLocker bara listat en handfull offer offentligt inom två månader efter det att de blev kända). Effektiv marknadsföring till affiliates är en trolig faktor. Förutom att erbjuda en lockande andel av lösensummor, har gruppen sökt medlemsförbund genom att publicera annonser på forum som Ransomware Anonymous Market Place (RAMP),” tillade rapporten.
“Även om detta inte är den första skadliga programvaran som använder Rust, är den en av de första, om inte den första, ransomware som använder den. Genom att använda detta programmeringsspråk kan författarna av skadlig programvara enkelt kompilera den mot olika operativsystem arkitekturer. Med tanke på dess många inbyggda alternativ är Rust mycket anpassningsbar, vilket underlättar möjligheten att pivotera och individualisera attacker.”
Dessutom: QNAP varnar NAS-användare för DeadBolt ransomware, uppmanar kunder att uppdatera
stark>
Gruppen utpressar också offer genom att stjäla deras data innan de distribuerar ransomware, hotar att läcka data och starta distribuerade överbelastningsattacker (DDoS).
BlackCat har setts rikta sig mot både Windows- och Linux-system, enligt Unit 42, som tillade att de har observerat dotterbolag som ber om lösensummor på upp till 14 miljoner dollar. I vissa fall har affiliates erbjudit rabatter på 9 miljoner dollar om lösensumman betalas före den fastställda tiden. De tillåter att lösen betalas i Bitcoin och Monero.
“I vissa fall använder BlackCat-operatörer chatten för att hota offret och hävdar att de kommer att utföra en DDoS-attack på offrens infrastruktur om lösensumman inte betalas. När det dyker upp utöver användningen av en läckageplats är denna praxis känd som trippel utpressning, en taktik som observerades användas av grupper som Avaddon och Suncrypt förr”, förklarade enhet 42.
“En unik egenskap hos BlackCat ransomware är att förhandlingschattar endast kan nås av de som har en åtkomsttokennyckel eller lösensumma – gruppen har ansträngt sig för att undvika snokning från tredje part.”
Inspelad framtida ransomware Experten Allan Liska sa att baserat på ett par faktorer, inklusive användningen av programmeringsspråket Rust, verkar Black Cat/ALPHV vara en välskött grupp.
Liska sa att det faktum att gruppen började med ransomware-varianter riktade mot Windows, Linux och ESXi-system “visar en nivå av sofistikering.”
“De har snabbt blivit en av de bästa grupperna för ransomware. Detta tillskrivs delvis det faktum att deras RaaS-erbjudande är mycket aggressivt, och erbjuder affiliates möjligheten 80%-90% av lösensumman, en ovanligt hög andel. Trots några tidiga framgångar, inte alla affiliate har blivit imponerade, vilket den här mycket negativa recensionen visar,” sa Liska och delade en skärmdump av en affiliate som klagade över att ha blivit förbjuden av BlackCat för att ha riktat sig mot en organisation i Turkmenistan.
Medan Turkmenistan är inte i OSS, det har nära band till Ryssland.
En produktiv #ransomware-operatör känd som FishEye aka bassterlord har kommit upp ur djupa vatten efter en månads ledighet och publicerat en mycket negativ recension av #ALPHA (#BlackCat) ransomware. 1/5 pic.twitter.com/k1Wl1liljO
— Azim Khodjibaev (@AShukuhi) 19 januari 2022
“Deras offentliga mål har varit större organisationer, och de verkar vara mycket aggressiv när de har att göra med förhandlare och deras affiliates (t.ex. ett avstängning från affiliateprogrammet efter 2 veckors inaktivitet). Vi får se om deras förkärlek för att vara överlägsen uppväger de attraktiva procentsatserna de erbjuder,” tillade Liska.
Säkerhet
Cybersäkerhet: 11 steg att ta när hotnivåerna ökar. Hon litade inte på sina flyttar. En enda Apple AirTag bevisade att hon hade rätt Hur tekniken är ett vapen i modern misshandel i hemmet Log4J: Microsoft upptäcker angripare som riktar sig mot SolarWinds sårbarhet De bästa antivirusprogram och appar: Håll din dator, telefon och surfplatta säker Säkerhet