BlackCat

دفتر تحقیقات فدرال ایالات‌متحده (FBI) زنگ خطر را در مورد باج افزار BlackCat به‌عنوان ransomware-as-a-service یا RaaS به صدا درآورده است، که در بازه مارس ۲۰۲۲ از زمان ظهور آن تا نوامبر گذشته[۱]، حداقل ۶۰ نهاد در سراسر جهان را تحت تأثیر قرار داده است.

این باج افزار که ALPHV و Noberus نیز نامیده می‌شود[۲]، به دلیل اینکه اولین دژافزاری است که به زبان برنامه‌نویسی Rust نوشته شده است و به‌عنوان ایمن در حافظه شناخته می‌شود و عملکرد بهبودیافته‌ای را ارائه می‌دهد، قابل‌توجه است.

FBI در گزارشی[۳] [۳] که هفته گذشته منتشر شد گفت: “بسیاری از توسعه‌دهندگان و پول‌شویی‌های BlackCat/ALPHV به DarkSide/BlackMatter مرتبط هستند[۴و۵]، که نشان می‌دهد آن‌ها دارای شبکه‌های گسترده و تجربه عملیات با باج‌گیر افزارها هستند.”

این افشاگری چند هفته پس از گزارش‌های دوگانه Cisco Talos و Kasperksy منتشر می‌شود[۶و۷] که پیوندهایی را بین خانواده‌های باج‌گیر افزار BlackCat و BlackMatter کشف کردند، ازجمله استفاده از نسخه اصلاح‌شده ابزاری برای استخراج داده‌ها به نام Fendr که قبلاً فقط در فعالیت‌های مرتبط با BlackMatter مشاهده شده بود.

AT&T Alien Labs در اوایل سال جاری خاطرنشان کرد[۸]: گذشته از مزایای توسعه‌ای که Rust ارائه می‌دهد، مهاجمان از نسبت تشخیص پایین‌تر از ابزارهای تحلیل استاتیک نیز بهره می‌برند، که معمولاً همه زبان‌های برنامه‌نویسی با آن سازگار نیستند.

مانند سایر گروه‌های RaaS، روش عملیات BlackCat شامل سرقت داده‌های قربانی قبل از اجرای باج‌گیر می‌شود، با این دژافزار اغلب از اعتبار کاربری در معرض خطر برای دستیابی به دسترسی اولیه به سیستم هدف استفاده می‌کند.

در یک حادثه باج‌گیر ‌افزاری BlackCat که توسط آزمایشگاه‌های Vedere’s Forescout تجزیه‌وتحلیل شد[۹]، به یک فایروال SonicWall در معرض اینترنت برای دسترسی اولیه به شبکه، قبل از انتقال به مزرعه مجازی VMware ESXi و رمزگذاری آن نفوذ شد. گفته می‌شود که استقرار این باج‌گیر افزار در ۱۷ مارس ۲۰۲۲ انجام شده است.

این آژانس مجری قانون، علاوه بر توصیه به قربانیان برای گزارش فوری حوادث باج‌گیر ‌افزاری، همچنین گفت که به هیچ عنوان پرداخت باج را تشویق نمی‌کند، زیرا هیچ تضمینی وجود ندارد که بازیابی فایل‌های رمزگذاری شده را ممکن کند. اما تصدیق کرد که قربانیان ممکن است مجبور شوند به چنین خواسته‌هایی برای محافظت از سهامداران، کارمندان و مشتریان توجه کنند.

به‌عنوان توصیه، FBI از سازمان‌ها می‌خواهد که کنترل‌کننده‌های دامنه، سرورها، workstation ها وactive directory ها را برای حساب‌های کاربری جدید یا ناشناس را بررسی کنند، پشتیبان‌گیری آفلاین داشته باشند، بخش‌بندی شبکه را پیاده‌سازی کنند، به‌روزرسانی‌های نرم‌افزاری را اعمال کنند و حساب‌ها را با احراز هویت چندعاملی ایمن کنند.

منابع

[۱] https://apa.aut.ac.ir/?p=8512

[۲] https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/noberus-blackcat-alphv-rust-ransomware

[۳] https://www.cisa.gov/uscert/ncas/current-activity/2022/04/22/fbi-releases-iocs-associated-blackcatalphv-ransomware

[۴] https://thehackernews.com/2021/11/us-offers-10-million-reward-for.html

[۵] https://thehackernews.com/2021/11/blackmatter-ransomware-reportedly.html

[۶] https://thehackernews.com/2022/03/experts-find-some-affiliates-of.html

[۷] https://thehackernews.com/2022/04/researchers-connect-blackcat-ransomware.html

[۸] https://cybersecurity.att.com/blogs/labs-research/blackcat-ransomware

[۹] https://www.forescout.com/blog/alphv-breaking-down-the-complexity-of-the-most-sophisticated-ransomware

[۱۰] https://thehackernews.com/2022/04/fbi-warns-of-blackcat-ransomware-that.html