Benzin tedarikçisi Oiltanking, yeni fidye yazılımı grubu ALPHV – BlackCat'in önemli bir kurbanı. Varonis Tehdit Laboratuvarları: Kârın yüzde 90'ına varan ödemelerle mali açıdan cazip teklifler aracılığıyla ortakların hedefli olarak işe alınması.
2021'in sonundan bu yana Varonis Threat Labs, hizmet olarak fidye yazılımı (RaaS) sağlayıcısı olarak (eski) üyeler de dahil olmak üzere yeni ortakları aktif olarak işe alan fidye yazılımı grubu ALPHV'nin (BlackCat olarak da bilinir) artan faaliyetini gözlemledi. REvil, Black Matter ve Dark Side gibi diğer çetelerin. Diğerlerinin yanı sıra Shell'i de etkileyen benzin istasyonu tedarikçisi Oiltanking'e yapılan saldırı BlackCat'e kadar uzanıyor. Diğer hedefler arasında ticari hizmetler, inşaat, enerji, moda, finans, lojistik, imalat, ilaç, perakende ve teknoloji dahil olmak üzere çok çeşitli sektörlerdeki daha büyük şirketler yer alıyor. Kurbanlar özellikle Avustralya, Fransa, Almanya, İtalya, Hollanda, İspanya, İngiltere ve ABD'den geliyor. Talepler 400.000 ila 3 milyon ABD doları arasında değişmektedir.
BlackCat milyonlarca fidye talep ediyor
ALPHV ilk olarak Kasım 2021'de gözlemlendi ve bir hizmet olarak fidye yazılımı sunuyor. Hassas verilerin şifrelenmeden önce çalındığı ve kurbanların yayımlanmakla tehdit edildiği olağan çifte gasp taktiği, daha fazla yükseltme düzeyiyle genişletilir (üçlü gasp): Siber suçlular ayrıca bir DDoS (Dağıtılmış Hizmet Reddi) -Saldırı tehdidinde bulunur Açık. Bu, alanda biraz deneyim olduğunu gösterir, bu nedenle ALPHV muhtemelen bu "işe" yeni gelenlerden ziyade bilinen saldırganların yeniden bir araya gelmesidir. Bu aynı zamanda, ALPHV'nin muhtemelen BlackMatter'ın daha ileri bir gelişimi veya yeniden markalaşması olduğu ve bunun da REvil ve DarkSide'ın bir "yan ürünü" veya halefi olduğu varsayıldığı siber suç forumlarındaki gönderilerle de belirtilir. Ayrıca, yeni ortakların çok aktif bir şekilde işe alındığı ve ilgili topluluklarda bulunduğu, bağlı kuruluşlar için alınan fidye parasının yüzde 90'ına varan çok yüksek ödeme oranı da dikkate değerdir.
Bağlı ortaklar yüzde 90'a kadar fidye almalıdır
Rusça siber suç forumlarında, ortaklar için hedefli bir arama yapılır (Resim: Varonis).
Bu yeni ortaklarla çalışırken, kurban ağına ilk izinsiz giriş genellikle, VPN ağ geçitleri gibi ağ altyapısı cihazlarındaki genel güvenlik açıklarından yararlanma ve korumasız RDP (Uzak Masaüstü Protokolü) ana bilgisayarları aracılığıyla kimlik bilgilerini kötüye kullanma gibi kanıtlanmış teknikler kullanılarak yapılır. Bundan sonra, ALPHV saldırganları kurbanın ağındaki Windows Defender güvenlik ayarlarını değiştirmek ve PsExec kullanarak birden çok ana bilgisayarda fidye yazılımını başlatmak için genellikle PowerShell'i kullanır.
Oiltanking'de olduğu gibi kurban sistemlerine erişildikten sonra, ağdaki yanal hareketin yanı sıra, sızma ve daha sonra şifreleme için hassas ve değerli verileri belirleyen keşif aşaması başlar. Fidye yazılımı her kurban için yeniden oluşturulur ve örneğin, fidye yazılımının otomatik olarak diğer sunuculara yayılmasına izin vermek için şifreleme türünü (örneğin, büyük dosyaların yalnızca bazı bölümleri şifrelenir) ve kurbanın yerleşik kimlik bilgilerini içerir.
ALPHV – BlackCat, Windows ve Linux'ta çalışır
Diğer birçok fidye yazılımı programının aksine ALPHV, Rust'ta geliştirilmiştir. Bu programlama dili, yüksek performans ve platformlar arası işlevlerle karakterize edilir. Buna göre, hem Linux hem de Windows varyantları zaten tanımlanmıştır.
ALPHV (BlackCat / Oiltanking) hakkında yapılandırmalar, süreçler ve risk göstergeleri gibi ayrıntılı bilgiler ilgili Varonis blog gönderisinde bulunabilir.
Daha fazlası Varonis.com'da
Varonis Hakkında 2005 yılında kuruluşundan bu yana Varonis, hem şirket içinde hem de bulutta depolanan kurumsal verileri güvenlik stratejisinin merkezine yerleştirerek çoğu BT güvenlik satıcısına farklı bir yaklaşım benimsemiştir: hassas dosyalar ve e-postalar, gizli müşteri, hasta ve hasta bilgileri Çalışan kayıtları, mali kayıtlar, stratejik ve ürün planları ve diğer fikri mülkiyet. Varonis Veri Güvenliği Platformu (DSP), verileri, hesap etkinliğini, telemetriyi ve kullanıcı davranışını analiz ederek içeriden gelen tehditleri ve siber saldırıları tespit eder, hassas, düzenlenmiş ve eskimiş verileri kilitleyerek veri güvenliği ihlallerini önler veya hafifletir ve sistemlerin güvenli durumunu korur verimli otomasyon yoluyla.,