BlackCat (кибербанда)

BlackCat, также известный как ALPHV ^[1] и Ноберус , ^[2] — это семейство программ-вымогателей, написанное на Rust . Впервые он появился в ноябре 2021 года. В более широком смысле, это также имя злоумышленника, который его использует.

BlackCat работает по модели «Вымогатель как услуга » (RaaS), при этом разработчики предлагают вредоносное ПО для использования филиалами и берут процент от выкупа. Для первоначального доступа программа-вымогатель по существу полагается на украденные учетные данные, полученные через брокеров первоначального доступа . Группа управляет общедоступным сайтом по утечке данных, чтобы оказать давление на жертв с требованием выкупа.

Группа атаковала сотни организаций по всему миру, включая Reddit в 2023 году и Change Healthcare в 2024 году. ^[3] С момента своего первого появления он является одним из самых активных программ-вымогателей . ^[4]

С февраля 2024 года Государственный департамент США предлагает вознаграждение в размере до 10 миллионов долларов США за потенциальных клиентов, которые смогут идентифицировать или определить местонахождение лидеров группировок, использующих программы-вымогатели ALPHV/BlackCat. ^[5]

В марте 2024 года представитель BlackCat заявил, что группа закрывается после атаки программы-вымогателя Change Healthcare в 2024 году . ^[6]

Группа, стоящая за BlackCat, в основном использует тактику двойного вымогательства, но иногда включает в себя тройное вымогательство, которое включает раскрытие украденных данных и угрозы запуска распределенных атак типа «отказ в обслуживании » (DDoS) на инфраструктуру жертв. ^[7]

Связанные с BlackCat злоумышленники обычно запрашивают выкуп в размере нескольких миллионов долларов в биткойнах и Monero и принимают выкуп ниже первоначальной суммы требования. По данным ФБР , многие разработчики и отмыватели денег BlackCat/ALPHV связаны с DarkSide/Blackmatter , что указывает на то, что они имеют обширные сети и опыт работы с программами-вымогателями. ^[1]

Группа известна как первая программа-вымогатель , создавшая общедоступный веб-сайт по утечке данных в открытом Интернете. Предыдущие кибербанды обычно публиковали украденные данные в даркнете . Инновация BlackCat заключалась в размещении выдержек или образцов данных жертв на сайте, доступном каждому, у кого есть веб-браузер. Эксперты по безопасности полагают, что эта тактика призвана продемонстрировать большую достоверность их заявлений о взломе систем жертв и усилить давление на организации с целью выплаты выкупа, чтобы предотвратить полное раскрытие их данных публично. ^[8] Группа также имитирует веб-сайты своих жертв, чтобы размещать в сети украденные данные о опечатках. ^[9]

В своих первых кампаниях программа-вымогатель Royal использовала инструмент шифрования под названием BlackCat. ^[10]

Вредоносную программу впервые заметили исследователи из MalwareHunterTeam в середине ноября 2021 года. ^[7]

К апрелю 2022 года Федеральное бюро расследований (ФБР) опубликовало сообщение о том, что несколько разработчиков и лиц, занимающихся отмыванием денег для BlackCat, имели связи с двумя несуществующими группами программ-вымогателей как услуги (RaaS) — DarkSide и BlackMatter. ^[7] По мнению некоторых экспертов, программа-вымогатель может быть ребрендингом DarkSide после атаки на Colonial Pipeline в мае 2021 года . ^[11] Он также может стать преемником киберпреступной группировки REvil , которая была ликвидирована в конце 2021 года. ^[8]

В течение 2022 года BlackCat скомпрометировал и вымогал деньги у многочисленных высокопоставленных организаций по всему миру, включая университеты, правительственные учреждения и компании в энергетическом, технологическом, производственном и транспортном секторах. Среди зарегистрированных жертв - Moncler , Swissport , North Carolina A&T , Международный университет Флориды , австрийский штат Каринтия , государственные школы Реджайна , город Александрия , Пизанский университет , Bandai Namco, Creos, Accelya, GSE, NJVC, EPM и JAKKS. Тихий океан. ^[12]

В сентябре 2022 года в отчете отмечалось, что программа-вымогатель использовала ботнет Emotet . ^[7]

В конце мая 2022 года европейское правительство подверглось нападению и потребовало выкуп в размере 5 миллионов долларов США. ^[7]

В начале 2023 года Blackcat атаковала Grupo Estrategas EMM, NextGen Healthcare , Solar Industries India, Instituto Federal Do Para , Мюнстерский технологический университет и Lehigh Valley Health Network . ^[12]

В феврале 2023 года был выпущен вариант под названием «Сфинкс» с обновлениями, повышающими скорость и скрытность. По оценкам, по состоянию на май 2023 года с момента своего появления группа преследовала более 350 жертв по всему миру. ^[2]

В июне 2023 года группа взяла на себя ответственность за взлом систем Reddit в феврале 2023 года . На своем сайте утечки данных они заявили, что украли 80 ГБ сжатых данных, и потребовали от Reddit выкуп в размере 4,5 миллионов долларов . Эта атака не включала шифрование данных, как типичные кампании с программами-вымогателями. ^[13]

19 декабря 2023 года веб-сайт группы был заменен изображением: сообщением ФБР, в котором утверждалось, что «Федеральное бюро расследований конфисковало этот сайт в рамках скоординированных действий правоохранительных органов, предпринятых против программы-вымогателя Alphv Blackcat». ^[14]

В тот же день ФБР объявило, что они «разрушили» группу ALPHV/BlackCat, захватив несколько веб-сайтов, а также выпустив инструмент для дешифрования. Жертвы программ-вымогателей могут использовать этот инструмент для расшифровки своих файлов без уплаты выкупа. ^[15]

С февраля 2024 года Государственный департамент США предлагает вознаграждение в размере до 10 миллионов долларов США за потенциальных клиентов, которые смогут идентифицировать или определить местонахождение лидеров группировок, использующих программы-вымогатели ALPHV/Blackcat. ^[16] Они предлагают дополнительное вознаграждение в размере 5 миллионов долларов за советы о людях, которые принимают участие в атаках с использованием программы-вымогателя ALPHV. ^[17]

В мае 2024 года газета The Standard (Гонконг) сообщила, что Совет потребителей Гонконга стал целью «атаки программы-вымогателя на его серверы и конечные устройства» и что такая атака была проведена ALPHV. ^[18]

банда использует вредоносное ПО ботнета Emotet В качестве точки входа . Он также использует Log4J Auto Expl для распространения программы-вымогателя внутри сети. ^[7]

Было замечено, что злоумышленники, связанные с BlackCat, использовали взломанные веб-страницы законных организаций для перенаправления пользователей на страницы, на которых размещено вредоносное ПО. Мошеннический установщик WinSCP распространил бэкдор, содержащий Cobalt Strike Beacon для последующих действий по вторжению. Доступ, предоставленный Cobalt Strike, использовался для проведения разведки, бокового перемещения , кражи данных и взлома программного обеспечения безопасности. Злоумышленники получили права администратора домена и начали устанавливать бэкдоры до того, как атака была обнаружена. ^[19]

Группа злоупотребляет объектами групповой политики (GPO) для распространения вредоносного ПО и отключения контроля безопасности в сетях. ^[20]

Вредоносное ПО использует такие инструменты, как ExMatter, для кражи конфиденциальных данных перед внедрением программы-вымогателя для шифрования файлов. ^[12]

Программа-вымогатель использует такие методы, как нежелательный код и зашифрованные строки, чтобы избежать обнаружения. После запуска BlackCat выполняет обнаружение сети, чтобы найти больше систем для заражения, удаляет теневые копии томов, шифрует файлы и отправляет записку о выкупе с требованием криптовалюты . ^[2]

Scattered Spider , дочерняя компания пользователей ALPHV (в некоторых СМИ предполагается, что это подгруппа ALPHV). ^[21] ), состоящая в основном из британских и американских хакеров, работала с ALPHV во время атак с использованием программ-вымогателей в сентябре 2023 года на MGM Resorts International и Caesars Entertainment , двух крупнейших операторов казино и игровых компаний в Лас-Вегасе и некоторых из крупнейших в мире. Хакеры потребовали от компании Caesars выкуп в размере 30 миллионов долларов США, которая выплатила хакерам 15 миллионов долларов. MGM, однако, не заплатила выкуп и вместо этого отключила все системы на несколько недель. Это еще больше повлияло на онлайн-предложения MGM, такие как платформа ставок на спорт BetMGM. ^{[22] [23] [24]} Кибератака на MGM привела к значительному ущербу в $100 млн для финансовых показателей компании за третий квартал 2023 года. ^[25]

ALPHV также использовался для проведения атаки с использованием программы-вымогателя на Motel One , хотя компания заявила, что ее обычные бизнес-операции никогда не подвергались риску. Хакерам удалось получить доступ к некоторым данным клиентов и примерно 150 кредитным картам. ^[21]

Сообщается, что BlackCat стоит за атакой вымогателя Change Healthcare в 2024 году . Компания Change Healthcare заплатила выкуп в размере 22 миллионов долларов за восстановление данных после атаки. Однако спор о платежах между BlackCat и партнером, участвовавшим в атаке, привел к тому, что представитель BlackCat заявил, что группа закрывается и продает исходный код своих продуктов-вымогателей. расценили этот спор как потенциальную аферу с выходом . Разработчики ^[6]

• Клоп (кибербанда)
• DarkSide (хакерская группа)
• Аккаунты (программы-вымогатели)
• Роял (кибербанда)
• Рассеянный паук