BlackCat
Исследователи DFIR Report проанализировали киберинцидент, в ходе которого пользователь неосознанно загрузил вредоносную версию Advanced IP Scanner через мошеннический сайт, продвигаемый с помощью рекламы Google.
Федеральное бюро расследований (ФБР) и Агентство по кибербезопасности и защите инфраструктуры (CISA) выпускают это совместное CSA, чтобы распространить информацию об известных ИОС и ТТП, связанных с вымогательским ПО ALPHV Blackcat, выявленным в ходе расследований ФБР в феврале 2024 года.
Недавно группа реагирования на инциденты Trend Micro работала с одной из целевых организаций после выявления крайне подозрительных действий с помощью службы обнаружения целевых атак (TAD). В ходе расследования злоумышленники использовали вредоносную рекламу для распространения вредоносного ПО через клонированные
Компания Mandiant обнаружила новый филиал программы-выкупа ALPHV (она же BlackCat ransomware), отслеживаемый как UNC4466, нацеленный на открытые установки Veritas Backup Exec, уязвимые к CVE-2021-27876, CVE-2021-27877 и CVE-2021-27878, для первоначального доступа к средам жертв.
Впервые замеченный в середине ноября 2021 года исследователями из MalwareHunterTeam, BlackCat (он же AlphaVM, AlphaV или ALPHV) быстро приобрел известность как первое крупное профессиональное семейство ransomware, написанное на Rust - кроссплатформенном языке, который позволяет злоумышленникам легко
Во время недавнего реагирования на инцидент команда Cyderes обнаружила и проанализировала инструмент в связи с расследованием дела о вымогательстве BlackCat/ALPHV. Компания Cyderes провела первоначальную оценку и установила, что образец представляет собой инструмент эксфильтрации с жестко закодированными учетными данными sftp.
Частичное шифрование файлов жертв повышает скорость работы вымогательских программ и помогает уклониться от них. Впервые эта техника была замечена в LockFile, но сейчас она получила широкое распространение.
В мае 2022 года один из поставщиков автомобильной продукции подвергся трем отдельным атакам с использованием вымогательского ПО. Все три угрозы использовали одну и ту же неправильную конфигурацию - правило брандмауэра, открывающее доступ к протоколу удаленного рабочего стола (RDP) на сервере управления
Вымогательское ПО lackCat/ALPHV использует ранее скомпрометированные учетные данные пользователя для получения первоначального доступа к системе жертвы.
BlackCat - это недавно появившаяся и набирающая силу группа, занимающаяся рассылкой вымогательского ПО как услуги (RaaS), которая за последние несколько месяцев атаковала несколько организаций по всему миру. Ходят слухи о связи между BlackCat и группами BlackMatter/DarkSide, известными своей атакой на