Jonathan Greig Personaleskribent
Jonathan Greig er journalist med base i New York City.
Fuld bio den 28. januar 2022 | Emne: Ransomware
Palo Alto Networks' Unit 42 frigav et dybtdykke i BlackCat ransomware, der dukkede op i midten af november 2021 som en innovativ ransomware-as-a-service (RaaS)-gruppe, der udnytter Rust-programmeringssproget og tilbyder tilknyttede virksomheder 80-90% af løsepengebetalinger.
Ransomware-familien, også kendt som ALPHV, samlede mindst 10 ofre i december, hvilket gav den det syvende største antal ofre, der er opført på deres lækageside blandt ransomware-grupper, der spores af Unit 42. < /p>
Doel Santos, trusselsefterretningsanalytiker med Unit 42, fortalte ZDNet, at gruppen allerede har angrebet en bred vifte af industrier, herunder byggeri og teknik, detailhandel, transport, kommercielle tjenester, forsikring, maskiner, professionelle tjenester, telekommunikation, autokomponenter og farmaceutiske produkter.
I sidste uge blev det italienske modemærke Moncler afsløret som et BlackCat-offer fra december.
Ud over at være skrevet på russisk og kodet i Rust-programmeringssproget, skilte malware sig ud for Santos af en række andre årsager.
“Det, der gør Blackcat iøjnefaldende, er brugen af deres private adgangsnøgle-token. De fleste af de grupper, vi har set på tidligere, inkluderer et direkte link og nøglerne indlejret i prøverne, hvilket gør det nemt at se på og bekræfte ransomware-ofre,” sagde Santos.
“Blackcat ransomware-prøver inkluderer ikke nøglerne. I stedet skal de indsendes af operatøren. Uden det er der ingen måde for en ekstern enhed at få adgang til deres forhandlingssted eller identificere offeret, medmindre de har en nøjagtig kopi af en løsesumseddel med den nøjagtige nøgle, der blev brugt til at udføre ransomwaren.”
Enhed 42 bemærkede, at gruppens tilknyttede selskaber har “taget en aggressiv tilgang til at navngive og udskælve ofre, idet de oplistede mere end et dusin på deres lækagested om lidt over en måned.”
“Det største antal af gruppens ofre indtil videre er amerikanske organisationer, men BlackCat og dets tilknyttede selskaber har også angrebet organisationer i Europa, Filippinerne og andre steder,” bemærkede rapporten.
Enhed 42
“Brug af BlackCat ransomware er vokset hurtigt af en række forskellige årsager (til sammenligning havde AvosLocker kun angivet en håndfuld ofre offentligt inden for to måneder efter at være blevet kendt). Effektiv markedsføring over for tilknyttede virksomheder er en sandsynlig faktor – udover at tilbyde en lokkende andel af løsesumsbetalinger, har gruppen anmodet datterselskaber ved at poste annoncer på fora såsom Ransomware Anonymous Market Place (RAMP),” rapporten tilføjet.
“Selvom dette ikke er det første stykke malware, der bruger Rust, er det et af det første, hvis ikke det første, ransomware, der bruger det. Ved at udnytte dette programmeringssprog er malware-forfatterne i stand til nemt at kompilere det mod forskellige operativsystemarkitekturer. På grund af dets mange indbyggede muligheder kan Rust i høj grad tilpasses, hvilket letter muligheden for at pivotere og individualisere angreb.”
Gruppen er også kendt for at afpresse ofre ved at stjæle deres data, før de implementerer ransomware, truer med at lække dataene og iværksætte distribuerede denial-of-service (DDoS)-angreb.
BlackCat er blevet set målrettet mod både Windows og Linux-systemer, ifølge Unit 42, som tilføjede, at de har observeret tilknyttede virksomheder, der beder om løsesum på op til $14 millioner. I nogle tilfælde har tilknyttede selskaber tilbudt rabatter på $9 millioner, hvis løsesummen betales inden det fastsatte tidspunkt. De tillader, at løsesum betales i Bitcoin og Monero.
“I nogle tilfælde bruger BlackCat-operatører chatten til at true offeret og hævder, at de vil udføre et DDoS-angreb på ofrenes infrastruktur, hvis løsesummen ikke betales. Når det vises ud over brugen af et lækagested, er denne praksis kendt som tredobbelt afpresning, en taktik, der blev observeret brugt af grupper som Avaddon og Suncrypt i fortiden,” forklarede Unit 42.
“En unik egenskab ved BlackCat ransomware er, at forhandlings-chat kun kan tilgås af dem, der har en adgangstokennøgle eller løsesumseddel – gruppen har gjort en indsats for at undgå tredjeparts snooping.”
Optaget fremtidig ransomware-ekspert Allan Liska sagde, at baseret på et par faktorer, herunder brugen af programmeringssproget Rust, ser Black Cat/ALPHV ud til at være en velindhentet gruppe.
Liska sagde, at det faktum, at gruppen startede med ransomware-varianter rettet mod Windows, Linux og ESXi-systemer, “viser et sofistikeret niveau.”
“De er hurtigt blevet en af top-tier ransomware-grupperne. Dette tilskrives til dels det faktum, at deres RaaS-tilbud er meget aggressive, der tilbyder tilknyttede selskaber muligheden for 80%-90% af løsesum betalt, en usædvanlig høj procentdel. På trods af nogle tidlig succes, ikke alle associerede selskaber er blevet imponeret, som denne meget negative anmeldelse viser,” sagde Liska og delte et skærmbillede af en associeret virksomhed, der klagede over at være blevet forbudt af BlackCat for at målrette en organisation i Turkmenistan.
Mens Turkmenistan er ikke i SNG, det har tætte bånd til Rusland.
En produktiv #ransomware-operatør kendt som FishEye aka bassterlord er kommet ud af dybt vand efter en måneds fri og har sendt en meget negativ anmeldelse af #ALPHA (#BlackCat) ransomware. 1/5 pic.twitter.com/k1Wl1liljO
— Azim Khodjibaev (@AShukuhi) 19. januar 2022
“Deres offentlige mål har været større organisationer, og de ser ud til at være meget aggressiv, når de har at gøre med forhandlere og deres tilknyttede selskaber (f.eks. et forbud mod affiliate-programmet efter 2 ugers inaktivitet). Vi vil se, om deres hang til at være anmassende opvejer de attraktive procenter, de tilbyder,” tilføjede Liska.
Sikkerhed
Cybersikkerhed: 11 trin at tage, når trusselsniveauet stiger. Hun stolede ikke på sine flyttemænd. Et enkelt Apple AirTag beviste, at hun havde ret Hvordan teknologi er et våben i moderne misbrug i hjemmet Log4J: Microsoft opdager angribere, der er rettet mod SolarWinds sårbarhed. Den bedste antivirussoftware og -apps: Hold din pc, telefon og tablet sikker Sikkerhed