Программа-вымогатель BlackCat (ALPHV), связанная с бандами BlackMatter и DarkSide

Легко ли взломать чужой Wi-Fi?

Банда вымогателей Black Cat, также известная как ALPHV, подтвердила, что они являются бывшими участниками печально известной операции вымогателей BlackMatter/DarkSide.

BlackCat/ALPHV — это новая многофункциональная программа-вымогатель , запущенная в ноябре 2021 года и разработанная на языке программирования Rust, что необычно для заражения программами-вымогателями.

Исполняемый файл программы-вымогателя обладает широкими возможностями настройки, а различные методы и параметры шифрования позволяют проводить атаки на широкий спектр корпоративных сред.

В то время как банда вымогателей называет себя ALPHV, исследователь безопасности MalwareHunterTeam назвал вымогателя BlackCat в честь изображения черной кошки, используемого на странице оплаты Tor каждой жертвы.

С тех пор операция по вымогательству была известна как BlackCat, когда ее обсуждали в СМИ или исследователи безопасности.

Краткая история ребрендинга программ-вымогателей

Многие операции с программами-вымогателями выполняются как программа-вымогатель как услуга (RaaS), где основные члены отвечают за разработку заражения программами-вымогателями и управление серверами, а аффилированные лица (также известные как «реклама») нанимаются для взлома корпоративных сетей и проведения атак. .

В рамках этой договоренности основные разработчики зарабатывают от 10 до 30% от суммы выкупа, а партнер получает остальное. Проценты меняются в зависимости от того, какой доход от выкупа приносит конкретный партнер.

Хотя в прошлом было много операций RaaS, было несколько банд высшего уровня, которые обычно закрывались, когда правоохранительные органы дышат им в затылок, а затем переименовывались под новыми именами.

Эти первоклассные операции Ransomware-as-a-Service и их ребрендинг:

  • GandCrab to REvil : Операция по вымогательству GandCrab была запущена в январе 2018 года и закрыта в июне 2019 года после заявления о том, что она заработала 2 миллиарда долларов в виде выкупа. Они были перезапущены под названием REvil  в сентябре 2019 года, но в конечном итоге  закрылись в октябре 2021 года после того, как правоохранительные органы захватили их инфраструктуру.
  • Maze to Egregor : программа- вымогатель Maze начала работать в мае 2019 года  и официально объявила о своем закрытии в октябре 2020 года. Однако считается, что в сентябре аффилированные лица и, вероятно, операторы переименовались в Egregor, который позже исчез после ареста участников в Украине.
  • DarkSide to BlackMatter : Операция по вымогательству DarkSide была запущена в августе 2022 года и закрыта в мае 2021 года  из-за операций правоохранительных органов, спровоцированных широко разрекламированной атакой банды на Colonial Pipeline. Они вернулись как BlackMatter  31 июля, но вскоре закрылись в ноябре 2021 года после того, как Emsisoft воспользовалась уязвимостью для создания расшифровщика,  и серверы были захвачены.

Некоторые считают, что Conti была ребрендингом Ryuk, но источники сообщают BleepingComputer, что обе они являются отдельными операциями, управляемыми TrickBot Group, и не связаны друг с другом.

В то время как некоторые аффилированные лица, как правило, сотрудничают с одной операцией RaaS, аффилиаты и пентестеры обычно сотрудничают с несколькими бандами одновременно.

Например, филиал программы-вымогателя сообщил BleepingComputer, что они одновременно работали с Ragnar Locker, Maze и операциями программы-вымогателя REvil.

BlackCat восстает из пепла BlackMatter

С момента запуска программы-вымогателя BlackCat в ноябре представитель банды вымогателей LockBit заявил, что ALPHV/BlackCat является ребрендингом DarkSide/BlackMatter.

The Record опубликовал интервью с бандой ALPHV/BlackCat, которая подтвердила подозрения, что они связаны с бандой DarkSide/BlackMatter.

«В качестве рекламы даркматерии [DarkSide/BlackMatter] мы пострадали от перехвата жертв для последующей расшифровки Emsisoft», — сказал ALPHV The Record, имея в виду выпуск расшифровщика Emsisoft.

Хотя операторы программ-вымогателей BlackCat утверждают, что они были только аффилированными лицами DarkSide/BlackMatter, которые запустили собственную операцию по борьбе с вымогателями, некоторые исследователи безопасности не верят в это.

Аналитик угроз Emsisoft Бретт Кэллоу считает, что BlackMatter заменила их команду разработчиков после того, как Emsisoft воспользовалась уязвимостью, позволяющей жертвам бесплатно восстанавливать свои файлы и теряющей банду вымогателей миллионы долларов в виде выкупа.

«Хотя Alphv утверждают, что являются бывшими аффилированными лицами DS/BM, более вероятно, что они *являются* DS/BM, но пытаются дистанцироваться от этого бренда из-за репутационного удара, нанесенного после совершения ошибки, которая обошлась аффилированным лицам в несколько миллионов долларов. «Кэллоу написал вчера в твиттере.

В прошлом можно было доказать, что различные операции программ-вымогателей связаны, ища сходство кода в коде шифровальщика.

Поскольку шифратор BlackCat был создан с нуля на языке программирования Rust, Фабиан Восар из Emsisoft сообщил BleepingComputer, что такого сходства кодов больше не существует.

Тем не менее, Восар сказал, что есть сходство в функциях и файлах конфигурации, подтверждая, что это одна и та же группа, стоящая за операциями вымогателей BlackCat и DarkSide/BlackMatter.

Независимо от того, являются ли они просто бывшими аффилированными лицами, решившими запустить собственную операцию по вымогательству, или ребрендингом DarkSide/BlackMatter, они продемонстрировали способность проводить крупные корпоративные атаки и быстро накапливать жертв.

BlackCat станет операцией по вымогательству, за которой должны внимательно следить все правоохранительные органы, сетевые защитники и специалисты по безопасности.

Банда повторяет свои ошибки

По иронии судьбы, то, что привело к краху операций DarkSide/BlackMatter, может в конечном итоге стать причиной быстрого упадка BlackCat/ALPHV.

После того, как DarkSide атаковала Colonial Pipeline, крупнейший топливный трубопровод в США, она начала ощущать на себе полное давление международных правоохранительных органов и правительства США.

Это давление продолжилось после того, как они переименовали их в BlackMatter, когда правоохранительные органы конфисковали их серверы и заставили их снова закрыться.

Что могло привлечь внимание к программе-вымогателю BlackCat, по иронии судьбы, это еще одна атака на поставщиков нефти и дистрибьюторские компании, которая привела к проблемам с цепочкой поставок.

На этой неделе BlackCat атаковала немецкого дистрибьютора бензина Oiltanking и поставщика масел Mabanaft GmbH.

Эти атаки в очередной раз затронули цепочку поставок топлива и вызвали нехватку газа.

Однако операторы BlackCat заявили The Record, что они не могут контролировать, на кого нападают их аффилированные лица, и блокировать тех, кто не соответствует политике банды. В этих правилах указано, что аффилированные лица не должны нацеливаться на государственные учреждения, медицинские или образовательные учреждения.

Однако похоже, что банда Darkside не извлекла уроков из своих предыдущих ошибок и снова атаковала критически важную инфраструктуру, что, вероятно, поставит их под прицел правоохранительных органов.

Последнее обновление 06.02.2022