Черная кошка (Blackcat, ALPHV, Noberus)

Компания

Продукты (1)

Продукты (ит-системы) данного вендора. Добавить продукт можно здесь.

ПродуктТехнологияКол-во проектов
Черная кошка: Sphynx (вирус-вымогатель)0

СМ. ТАКЖЕ (7)

История

2024: Госдеп объявил награду в $10 млн за информацию о ALPHV BlackCat

27 марта 2024 года Государственный департамент США объявил о вознаграждении в размере $10 млн за информацию о хакерах-вымогателях, которые нанесли американской системе здравоохранения миллиардные убытки. Речь идет о хакерской группировке ALPHV BlackCat, которая осуществляет кибератаки с использованием вирусов-вымогателей. Подробнее здесь.

2023: ФБР взломало инфраструктуру русскоязычных хакеров-вымогателей, чем разозлило их

В декабре 2023 года Министерство Юстиции США объявило[1] о взломе инфраструктуры русскоязычной хакерской банды «Черная кошка» (Blackcat, она же ALPHV, она же Noberus), которая была оператором платформы вымогателей (Ransomware-as-a-service — RaaS). Спецслужбам США удалось получить доступ к ключам дешифровки, что позволило создать им инструменты для восставноления ИТ-инфраструтуры компаний, которые пострадали от действий данной кибергруппировки. По оценкам ФБР, которое работало с десятками жертв данной группировки, общая сумма требований выкупа для компаний на территории США составила 68 млн долл.

«
Сегодняшнее объявление подчеркивает способность Министерства юстиции бороться даже с самыми изощренными и плодовитыми киберпреступниками, — пояснил в пресс-релизе Маркензи Лапойнт, прокурор США по Южному округу Флориды. – В результате неустанных усилий нашего офиса, вместе с ФБР в Майами, Секретной службой США и нашими зарубежными партнерами по правоохранительным органам, мы предоставили жертвам Blackcat в Южном округе Флориды и по всему миру возможность встать на ноги и укрепить свою цифровую защиту. Мы продолжим уделять особое внимание привлечению к ответственности людей, стоящих за группировкой вымогателей Blackcat, за их преступления
»

Tor-сайт «Черной кошки», перехваченный ФБР

Бизнес операторов RaaS-сервисов заключается в том, что разработчики готовят инструменты для шифрования и дешифрования ИТ-систем жертв, а также инфраструктуру для давления на жертв и получения выкупа. Сами же действия по проникновению внутрь корпоративных сетей жертв, воровства из нее конфиденциальной информации и запуск на ее узлах шифровальщиков должны выполнять партнеры, с которыми в дальнейшем платформа делит полученные прибыли.

Впрочем, в самом пресс-релизе отмечено, что кибербанда «Черная кошка» занималась не только вымогательством для дешифрования инфраструктуры, но и требованием выкупа за секретные данные, то есть деньги жертва должна была заплатить за то, что ее секретные или конфиденциальные данные не будут публиковаться. Поскольку теперь выпущен инструмент дешифрования, то, скорее всего, секретная информации компаний-жертв, видимо, будет выложена в DarkWeb.

Новый Tor-сайт «Черной кошки»

Хотя основной Tor-сайт группировки был перехвачен ФБР, и публикация секретов на нем невозможна, тем не менее группировка тут же создала альтернативный Tor-сайт, на котором ее представители сообщили, что правоохранителями был взломан только блог и один узел их сети, где содержалось порядка 400 ключей, но целостность остальных сохранена, а на них содержаться сведения о примерно 3 тыс. жертв, которые в результате не получат ключи дешифрования. Кроме того, группировка объявила, что снимает все правила по выбору жертв, кроме одного – не атаковать компании на территории СНГ.

Следует отметить, что на территории России деятельность группировки пока не фиксировалась.

«
Известны случаи атак, атрибутируемых коллегами из отрасли к данной группировке, на Ближнем Востоке и в латинской Америке, - пояснил для TAdviser Павел Кузнецов, директор по стратегическим альянсам и взаимодействию с органами государственной власти ГК «Гарда». - По следам их исследований и наших собственных изысканий, обнаружить активность на территории РФ нашему центру компетенций не удалось, однако, так как ALPHV действуют по принципу ransomware-as-a-service, можно предположить, что ситуация может измениться в любой момент.
»

2022: Обновление ПО и добавление функции повреждения данных жертвы

Группировка BlackCat обновила свое ПО для организации кражи данных Exmatter и добавила обновленную функцию повреждения данных, кардинально изменив тактику атак аффилированных лиц. Об этом стало известно 26 сентября 2022 года.

Данный образец был обнаружен аналитиками из ИБ-компании Cyderes, а затем передан группе исследования угроз Stairwell для дальнейшего анализа. Exmatter используется аффилированными лицами BlackMatter как минимум с октября 2021 года, но это первый раз, когда Exmatter был замечен с модулем уничтожения данных.

Эксперты из Cyderes заявили, что по мере того, как файлы загружаются на сервер злоумышленника, они ставятся в очередь для обработки классом Eraser. Сегмент произвольного размера, начинающийся в начале второго файла, считывается в буфер, а затем записывается в начало первого файла, перезаписывая его и повреждая файл.

Иллюстрация:securitylab.ru

Эта тактика использования данных из одного извлеченного файла для повреждения другого файла может быть попыткой уклониться от обнаружения или эвристического анализа.

Как обнаружили исследователи угроз Stairwell, возможности уничтожения данных Exmatter все еще находятся в разработке, учитывая следующее:

  • У Exmatter не существует механизма для удаления файлов из очереди, то есть некоторые файлы могут быть перезаписаны много раз, прежде чем программа завершит работу, а другие, возможно, никогда не будут выбраны для обработки;

  • Функция, которая создает экземпляр класса «Erase», реализована не полностью и декомпилируется неправильно. Длина фрагмента второго файла, который используется для перезаписи первого файла, определяется случайным образом и может составлять всего один байт.

Исследователи считают, что обновленная функция повреждения данных может заменить традиционные атаки программ-вымогателей, когда данные крадут, а затем шифруют, на атаки, при которых данные крадут, а затем удаляют или повреждают. Этот метод, в отличие от RaaS-модели, позволяет хакеру забрать себе весь доход, полученный от атаки, поскольку ему не нужно делиться процентом с разработчиком шифровальщика.

При обычном шифровании у злоумышленников есть риск того, что жертва найдет способ расшифровки данных и не заплатит выкуп. Уничтожение конфиденциальных данных после их эксфильтрации на сервер хакера предотвратит это и послужит дополнительным стимулом для жертв платить выкуп, а также отсутствие этапа шифрования ускоряет процесс атаки.

Эти факторы приводят к тому, что аффилированные лица отказываются от RaaS-модели в пользу программ-вымогателей, которые просто уничтожают данные[2].

Примечания