Постачальник бензину Oiltanking є відомою жертвою нової групи програм-вимагачів ALPHV – BlackCat. Varonis Threat Labs: цілеспрямоване залучення партнерів за допомогою фінансово привабливих пропозицій із виплатами до 90 відсотків прибутку.
З кінця 2021 року Varonis Threat Labs спостерігає зростання активності групи програм-вимагачів ALPHV (також відомої як BlackCat), яка активно залучає нових партнерів як постачальник програм-вимагачів як послуги (RaaS), включаючи (колишніх) членів інших банд, таких як REvil, Black Matter і Dark Side. Атака на постачальника АЗС Oiltanking, від якої постраждала серед інших Shell, сягає BlackCat. Інші цілі включають великі компанії в широкому спектрі галузей, включаючи бізнес-послуги, будівництво, енергетику, моду, фінанси, логістику, виробництво, фармацевтику, роздрібну торгівлю та технології. Жертви походять зокрема з Австралії, Франції, Німеччини, Італії, Нідерландів, Іспанії, Великої Британії та США. Позови коливаються від 400.000 тисяч до 3 мільйонів доларів США.
BlackCat вимагає мільйонні викупи
ALPHV вперше був помічений у листопаді 2021 року та пропонує програми-вимагачі як послугу. Звичайна тактика подвійного вимагання, коли конфіденційні дані викрадаються перед шифруванням, а жертвам погрожують оприлюднити, розширюється додатковим рівнем ескалації (потрійне вимагання): кіберзлочинці також погрожують DDoS (розподіленою відмовою в обслуговуванні) -атакою. на. Це свідчить про певний досвід у цій галузі, тому ALPHV, ймовірно, є перегрупуванням відомих зловмисників, а не новачків у цьому «бізнесі». На це також вказують повідомлення на форумах про кіберзлочинність, у яких припускається, що ALPHV, можливо, є подальшим розвитком або ребрендингом BlackMatter, який, у свою чергу, є «відділом» або наступником REvil і DarkSide. Також варто відзначити дуже високу ставку виплат для афілійованих осіб – до 90 відсотків отриманих грошей від викупу, за допомогою яких нових партнерів дуже активно залучають і знаходять у відповідних спільнотах.
Афілійовані партнери повинні отримати до 90 відсотків викупу
Під час роботи з цими новими партнерами перше вторгнення в мережу жертви зазвичай здійснюється за допомогою перевірених методів, таких як використання поширених уразливостей у пристроях мережевої інфраструктури, таких як шлюзи VPN, і зловживання обліковими даними через незахищені хости RDP (протокол віддаленого робочого столу). Після цього зловмисники ALPHV часто використовують PowerShell, щоб змінити налаштування безпеки Windows Defender у мережі жертви та запустити програму-вимагач на кількох хостах за допомогою PsExec.
Після отримання доступу до систем жертви, як у Oiltanking, починається фаза розвідки, ідентифікація конфіденційних і цінних даних для вилучення та подальшого шифрування, а також бокового руху в мережі. Програмне забезпечення-вимагач створюється заново для кожної жертви та включає, наприклад, тип шифрування (наприклад, шифруються лише частини великих файлів) і вбудовані облікові дані жертви, щоб програма-вимагач могла автоматично поширюватися на інші сервери.
ALPHV – BlackCat працює на Windows і Linux
На відміну від багатьох інших програм-вимагачів, ALPHV розроблено в Rust. Ця мова програмування характеризується високою продуктивністю і кросплатформенністю. Відповідно, як Linux, так і Windows варіанти вже визначені.
Додаткову інформацію про ALPHV (BlackCat / Oiltanking), як-от детальну інформацію про конфігурації, процеси та індикатори компрометації, можна знайти у відповідній публікації блогу Varonis.
Більше на Varonis.com
Про Вароніс З моменту свого заснування в 2005 році компанія Varonis застосувала інший підхід до більшості постачальників ІТ-безпеки, помістивши корпоративні дані, що зберігаються як локально, так і в хмарі, в центрі своєї стратегії безпеки: конфіденційні файли та електронні листи, конфіденційну інформацію про клієнтів, пацієнтів і пацієнтів. Записи співробітників, фінансові записи, стратегічні плани та плани продукту та інша інтелектуальна власність. Платформа безпеки даних Varonis (DSP) виявляє інсайдерські загрози та кібератаки, аналізуючи дані, активність облікового запису, телеметрію та поведінку користувачів, запобігає або пом’якшує порушення безпеки даних шляхом блокування конфіденційних, регламентованих і застарілих даних, а також підтримує безпечний стан систем завдяки ефективній автоматизації.,