Впервые замеченный в середине ноября 2021 года исследователями из MalwareHunterTeam, BlackCat (он же AlphaVM, AlphaV или ALPHV) быстро приобрел известность как первое крупное профессиональное семейство ransomware, написанное на Rust - кроссплатформенном языке, который позволяет злоумышленникам легко адаптировать вредоносное ПО для различных операционных систем, таких как Windows и Linux, что обеспечивает широкий спектр корпоративных сред.
С тех пор BlackCat ransomware часто попадает в заголовки газет благодаря своим последовательным атакам на высокопоставленные цели и использованию тройного вымогательства, что дает группе явное конкурентное преимущество перед другими операторами RaaS. Помимо раскрытия эксфильтрованных данных, участники ransomware, использующие тройное вымогательство, угрожают провести распределенные атаки типа "отказ в обслуживании" (DDoS) на инфраструктуру своих жертв, чтобы вынудить их заплатить выкуп.
Учитывая репутацию BlackCat, использующего сложные и неортодоксальные методы, рост его популярности и укрепление позиций в криминальном подполье объясняется следующими причинами:
- BlackCat сделал свой сайт утечки информации публичным, тем самым сделав украденную у жертв информацию доступной для поиска.
- Она предлагает своим партнерам более существенные выплаты, достигающие 90% от суммы выкупа.
- Она использует токен с закрытым ключом доступа, чтобы ограничить доступ внешних сторон к переговорному сайту группы.
- Метод проникновения в целевую организацию варьируется в зависимости от филиала RaaS, который развертывает полезную нагрузку ransomware.
- Исследователи безопасности обнаружили, что BlackCat использует ботнет Emotet для распространения своей полезной нагрузки ransomware.
Indicators of Compromise
URLs
- http://vwuzda4x76mhtutxkjnhzquuq4wgtgwjbv6wrs2m627uhg744ieaskqd.onion/?access-key=g7ZyzfVklepngLBki2XeB4NTccRD1m1R2RymNI23pOXwUVctZIV7CTeiwV2S3fptQIi%2F0Yk%2BIL5LVHEU4Gkj4FVKSthcz6R8ObwbdpgIsf7BdTMQP7BgsTt6JpiHBdqv1I%2FQZEsr5dc49d8O3%2BRlTphpH%2BMFf3B5uCPkg35GwD7qEi8mGWinXixlPnaCmuq2LZpGqcZe15KVIlMK1dehL277UddgPLCUe11xIVbPOSfGTAdrRUfzeUtiJkX9lSAk5ry%2FYsqcg1IgIzjdqTByCGF%2B5BnnbUNJt0NcfGt1ldkUJfXHPrN1m73390kB%2BHkT8CGM9cFME6frN5j%2BoejVmw%3D%3D
SHA256
- 0a609fa2db910615b2c1ad235ca46562ff4034800c44802a63a28826669a7eee
- 67d1f4077e929385cfd869bf279892bf10a2c8f0af4119e4bc15a2add9461fec
- bacedbb23254934b736a9daf6de52620c9250a49686d519ceaf0a8d25da0a97f
- cda37b13d1fdee1b4262b5a6146a35d8fc88fa572e55437a47a950037cc65d40