BlackCat — новый игрок в шифровальном бизнесе

Наши эксперты исследовали активность и инструменты группы злоумышленников под названием BlackCat.

Новый шифровальщик BlackCat

Рынок не терпит пустоты: после ухода нашумевших группировок BlackMatter и REvil неизбежно должны были появиться новые игроки. И вот один из них: в декабре прошлого года на хакерских форумах появилась реклама сервисов группировки ALPHV, также известной как BlackCat. После нескольких инцидентов наши эксперты из подразделения Global Research and Analysis Team (GReAT) решили тщательно исследовать схему работы этой группировки и обнародовать результаты в посте на сайте Securelist.

Еще в рекламе злоумышленники говорили, что они изучили ошибки и проблемы предшественников и создали улучшенный вариант зловреда. Однако, судя по некоторым признакам, их связь с BlackMatter и REvil может быть куда более тесной, чем они пытаются показать.

Что за группировка и чем она атакует жертвы?

Создатели шифровальщиков из BlackСat предлагают свои услуги по схеме Ransomware-as-a-Service (RaaS), то есть предоставляют другим злоумышленникам доступ к своей инфраструктуре и вредоносному коду за процент от выкупов. Кроме того, они, вероятно, берут на себя переговоры с жертвой. Таким образом, все, что остается оператору — получить доступ к корпоративной среде, так что разработки BlackCat применяются для атак на компании разного размера по всему миру.

В арсенале BlackCat имеется одноименный шифровальщик. Он написан на языке Rust, благодаря чему злоумышленникам удалось добиться определенной кроссплатформенности: варианты зловреда существуют и под Windows и под Linux.

Кроме того, они используют утилиту Fendr, которая служит для эксфильтрации данных из зараженной инфраструктуры. Именно использование этого инструмента и наводит на мысль, что BlackCat может быть просто ребрендингом группировки BlackMatter — раньше Fendr, также известный как ExMatter, использовался только ими.

Также киберпреступники из BlackCat применяют инструмент PsExec для распространения по сети жертвы, могут загружать известный хакерский софт Mimikatz и ПО Nirsoft для добычи сетевых паролей.

Более подробную техническую информацию о BlackCat вместе с индикаторами компрометации можно найти все в том же посте на блоге Securelist.

Кого атакуют при помощи инструментов BlackCat?

Среди инцидентов с применением шифровальщика BlackCat наши эксперты видели как минимум одну атаку на южноамериканскую промышленную компанию, занимающуюся полезными ископаемыми и строительством, а также заражение нескольких клиентов ближневосточного ERP-провайдера (организации, предоставляющей инструменты для планирования ресурсов предприятия).

Беспокойство вызывает модернизация, которую претерпел инструмент Fendr. Теперь он умеет автоматически выкачивать гораздо более широкий спектр файлов по сравнению с прошлыми случаями его применения группировкой BlackMatter. Ему добавили способность находить файлы с расширениями .sqlite, .catproduct, .rdp, .accdb, .catpart, .catdrawing, .3ds, .dwt и .dxf. Файлы этих типов используются приложениями для промышленного дизайна и инструментами для удаленного доступа. Это может означать, что создатели зловреда нацелились на промышленные среды.

Как оставаться в безопасности

Новые шифровальщики-вымогатели появляются с завидной регулярностью. Для того чтобы ваша компания не потеряла важную информацию, мы рекомендуем, во-первых, защищать все корпоративные устройства при помощи надежных решений, а во-вторых — регулярно обучать сотрудников правилам информационной безопасности.

Сейчас, когда благодаря росту предложений ransomware-as-a-service количство атак при помощи шифровальщиков-вымогателей растет, важно чтобы каждая компания имела четкую многоуровневую стратегию защиты от этой угрозы.

Советы

Как отключить слежку в iOS?

У вас есть iPhone, iPad или iPod? Потратьте несколько минут на настройку служб геолокации, чтобы сэкономить заряд батареи и сохранить конфиденциальность перемещений.