BlackCat, ancaman ransomware terbaru yang digembar-gemborkan di forum bawah tanah, dengan cepat membuat terobosan ke pasar kriminal dunia maya ransomware-as-a-service dengan menawarkan 80% hingga 90% uang tebusan kepada โafiliasiโ dan secara agresif mengadu domba korban dengan nama-dan-malu. blog.
Dalam waktu kurang dari sebulan, kelompok BlackCat konon telah mengkompromikan lebih dari selusin korban, menyebutkan nama-nama korban di blognya, dan membobol 10 ancaman teratas yang diukur dengan jumlah korban, menurut analisis malware terbaru oleh para peneliti di Palo Alto. Jaringan. Program ransomware tampaknya dirancang dengan baik dan ditulis dalam Rust, bahasa pemrograman yang efisien yang telah mendapatkan popularitas selama dekade terakhir.
Saat ini, lima korban berada di Amerika Serikat, dua di Jerman, dan masing-masing satu di Prancis, Belanda, Filipina, dan Spanyol, dengan lokasi korban terakhir belum diketahui.
Platform ransomware menggunakan ekstensif file konfigurasi untuk memungkinkan operator menyesuaikan serangan ke korban tertentu, menentukan proses apa yang harus dimatikan, dan bahkan menggunakan daftar kredensial yang disesuaikan untuk bergerak secara lateral di dalam perusahaan, kata Doel Santos, intelijen ancaman analis dengan tim Unit 42 Palo Alto Networks.
โBlackCat ransomware mencakup banyak fitur yang dapat dimanfaatkan oleh operator saat mengeksekusi ransomware,โ katanya. โSemua konfigurasi ini dapat disesuaikan oleh aktor ancaman sesuai keinginan mereka sehingga sangat dapat disesuaikan.โ
Ini adalah contoh terbaru tentang bagaimana kelompok ransomware beradaptasi dengan pertahanan perusahaan yang lebih baik dan upaya kolaboratif lembaga penegak hukum untuk menyelidiki dan menuntut geng ransomware. Pada September 2021, peneliti dari Trend Micro mencatat bahwa grup ransomware telah pindah dari apa yang disebut "pemerasan ganda" untuk mengadopsi beberapa metode pemerasan, termasuk mengenkripsi data, mencuri data, menggunakan serangan distributed denial-of-service (DDoS), dan menamai serta mempermalukan korban.
BlackCatโjuga dikenal sebagai ALPHVโmengadopsi semua teknik ini, kata peneliti dari Palo Alto Networks dalam analisisnya.
โDalam beberapa kasus, operator BlackCat menggunakan obrolan untuk mengancam korban, mengklaim bahwa mereka akan melakukan serangan DDoS pada infrastruktur korban jika uang tebusan tidak dibayarkan,โ analisis menyatakan. โKetika muncul selain penggunaan situs kebocoran, praktik ini dikenal sebagai pemerasan rangkap tiga, taktik yang diamati digunakan oleh kelompok-kelompok seperti Avaddon dan Suncrypt di masa lalu.โ
Dikodekan dalam Rust
Perangkat lunak ini ditulis oleh satu atau lebih pengembang Rusia menggunakan bahasa pemrograman Rust, kemungkinan pertama kali kelompok ransomware mengadopsi bahasa pengkodean yang sedang naik daun. Itu efisiensi kode yang dikompilasi Rust memungkinkan malware untuk secara ekstensif menggunakan enkripsi dan mengkodekan sejumlah besar fitur sementara membutuhkan sedikit overhead, analisis menyatakan.
Sementara BlackCat adalah ransomware pertama yang ditemukan oleh Palo Alto Networks yang menggunakan Rust, malware lain โ seperti pengunduh tahap pertama, RustyBuer โ juga dikembangkan tahun lalu menggunakan bahasa pemrograman, kata perusahaan itu.
โKarat telah ada selama beberapa waktu, [dan] tidak sepopuler bahasa pemrograman lain, tetapi mendapatkan ketenaran karena cepat dan hemat memori โ dua hal yang mungkin menarik bagi operator ransomware,โ kata Santos.
Penggunaan Rust memungkinkan malware untuk berjalan pada sistem Windows dan Linux dan memungkinkan pengembang untuk membuat kampanye individual, Palo Alto Networks menyatakan dalam analisisnya.
Di antara teknik lainnya, BlackCat juga menggunakan token akses untuk membatasi siapa yang dapat melihat negosiasi yang sedang berlangsung dengan korban. Hanya peserta dengan token akses yang dapat masuk ke obrolan dan hub untuk membayar uang tebusan, upaya untuk menghindari pengintaian pihak ketiga, kata Santos.
โSampel ransomware tradisional biasanya sudah dikonfigurasi sebelumnya dan menyertakan tautan yang bocor dan memungkinkan entitas eksternal mengakses negosiasi dan detail tambahan yang dimaksudkan hanya untuk dilihat oleh korban,โ katanya.
Diskon Pembayaran Awal
Grup BlackCat telah meminta pembayaran uang tebusan sebanyak $14 juta, dengan potongan harga untuk korban yang membayar sebelum batas waktu.
Sementara BlackCat telah lepas landas sejak November, dua kelompok ransomware terbesar, yang diukur dengan jumlah korban bulanan, terus menjadi Lockbit 2.0 dan Conti.
Ransomware Conti yang berusia 2 tahun terus sukses, dengan Badan Keamanan Siber dan Infrastruktur AS (CISA) peringatan di bulan September peningkatan serangan menggunakan Conti. Peneliti keamanan diperingatkan pada bulan Agustus bahwa versi program ransomware Lockbit yang ditulis ulang, dijuluki Lockbit 2.0, telah dirilis. Grup Lockbit berfokus pada perekrutan agresif untuk mendapatkan afiliasi menyebarkan malware mereka, sebuah strategi yang jelas-jelas disalin oleh BlackCat. Situs kebocoran grup Lockbit mendaftarkan 50 korban pada Desember 2021, sementara Conti telah mengkompromikan 37 korban, menurut Palo Alto Networks.
