BlackCat Ransomware IOCs

ransomware IOC

Впервые замеченный в середине ноября 2021 года исследователями из MalwareHunterTeam, BlackCat (он же AlphaVM, AlphaV или ALPHV) быстро приобрел известность как первое крупное профессиональное семейство ransomware, написанное на Rust - кроссплатформенном языке, который позволяет злоумышленникам легко адаптировать вредоносное ПО для различных операционных систем, таких как Windows и Linux, что обеспечивает широкий спектр корпоративных сред.


С тех пор BlackCat ransomware часто попадает в заголовки газет благодаря своим последовательным атакам на высокопоставленные цели и использованию тройного вымогательства, что дает группе явное конкурентное преимущество перед другими операторами RaaS. Помимо раскрытия эксфильтрованных данных, участники ransomware, использующие тройное вымогательство, угрожают провести распределенные атаки типа "отказ в обслуживании" (DDoS) на инфраструктуру своих жертв, чтобы вынудить их заплатить выкуп.

Учитывая репутацию BlackCat, использующего сложные и неортодоксальные методы, рост его популярности и укрепление позиций в криминальном подполье объясняется следующими причинами:

  • BlackCat сделал свой сайт утечки информации публичным, тем самым сделав украденную у жертв информацию доступной для поиска.
  • Она предлагает своим партнерам более существенные выплаты, достигающие 90% от суммы выкупа.
  • Она использует токен с закрытым ключом доступа, чтобы ограничить доступ внешних сторон к переговорному сайту группы.
  • Метод проникновения в целевую организацию варьируется в зависимости от филиала RaaS, который развертывает полезную нагрузку ransomware.
  • Исследователи безопасности обнаружили, что BlackCat использует ботнет Emotet для распространения своей полезной нагрузки ransomware.

Indicators of Compromise

URLs

  • http://vwuzda4x76mhtutxkjnhzquuq4wgtgwjbv6wrs2m627uhg744ieaskqd.onion/?access-key=g7ZyzfVklepngLBki2XeB4NTccRD1m1R2RymNI23pOXwUVctZIV7CTeiwV2S3fptQIi%2F0Yk%2BIL5LVHEU4Gkj4FVKSthcz6R8ObwbdpgIsf7BdTMQP7BgsTt6JpiHBdqv1I%2FQZEsr5dc49d8O3%2BRlTphpH%2BMFf3B5uCPkg35GwD7qEi8mGWinXixlPnaCmuq2LZpGqcZe15KVIlMK1dehL277UddgPLCUe11xIVbPOSfGTAdrRUfzeUtiJkX9lSAk5ry%2FYsqcg1IgIzjdqTByCGF%2B5BnnbUNJt0NcfGt1ldkUJfXHPrN1m73390kB%2BHkT8CGM9cFME6frN5j%2BoejVmw%3D%3D

SHA256

  • 0a609fa2db910615b2c1ad235ca46562ff4034800c44802a63a28826669a7eee
  • 67d1f4077e929385cfd869bf279892bf10a2c8f0af4119e4bc15a2add9461fec
  • bacedbb23254934b736a9daf6de52620c9250a49686d519ceaf0a8d25da0a97f
  • cda37b13d1fdee1b4262b5a6146a35d8fc88fa572e55437a47a950037cc65d40
SEC-1275-1
Добавить комментарий