BlackCat, mối đe dọa ransomware mới nhất được quảng cáo trên các diễn đàn ngầm, đã nhanh chóng xâm nhập vào thị trường tội phạm mạng ransomware dưới dạng dịch vụ bằng cách cung cấp 80% đến 90% tiền chuộc cho “các chi nhánh” và tích cực tấn công các nạn nhân bằng cách nêu tên và xấu hổ. Blog.
Theo phân tích gần đây về phần mềm độc hại của các nhà nghiên cứu tại Palo Alto, trong vòng chưa đầy một tháng, nhóm BlackCat đã cố tình xâm phạm hơn chục nạn nhân, nêu tên những nạn nhân đó trên blog của mình và lọt vào danh sách 10 mối đe dọa hàng đầu được đo bằng số lượng nạn nhân. Mạng. Chương trình ransomware có vẻ được thiết kế tốt và được viết bằng Rust, một ngôn ngữ lập trình hiệu quả đã trở nên phổ biến trong thập kỷ qua.
Hiện tại, năm nạn nhân ở Hoa Kỳ, hai ở Đức và một ở Pháp, Hà Lan, Philippines và Tây Ban Nha, chưa rõ địa điểm của nạn nhân cuối cùng.
Doel Santos, một chuyên gia về mối đe dọa, cho biết nền tảng ransomware sử dụng rộng rãi các tệp cấu hình để cho phép kẻ điều hành tùy chỉnh cuộc tấn công đối với một số nạn nhân nhất định, xác định những quy trình nào cần tắt và thậm chí sử dụng danh sách thông tin xác thực tùy chỉnh để di chuyển ngang trong công ty. nhà phân tích thuộc nhóm Đơn vị 42 của Palo Alto Networks.
Ông nói: “Phần mềm tống tiền BlackCat bao gồm nhiều tính năng có thể được kẻ vận hành tận dụng khi thực thi phần mềm tống tiền”. “Tất cả các cấu hình này có thể được tác nhân đe dọa tùy chỉnh theo ý thích của họ, khiến nó có khả năng tùy biến cao.”
Đây là ví dụ mới nhất về cách các nhóm ransomware thích nghi với khả năng phòng thủ tốt hơn của công ty và nỗ lực hợp tác của các cơ quan thực thi pháp luật để điều tra và truy tố các băng đảng ransomware. Vào tháng 2021 năm XNUMX, các nhà nghiên cứu từ Trend Micro lưu ý rằng các nhóm ransomware đã chuyển từ cái gọi là “tống tiền kép” đến áp dụng nhiều phương thức tống tiền, bao gồm mã hóa dữ liệu, đánh cắp dữ liệu, sử dụng các cuộc tấn công từ chối dịch vụ (DDoS) phân tán và đặt tên và bôi nhọ nạn nhân.
Các nhà nghiên cứu từ Palo Alto Networks cho biết trong phân tích của mình rằng BlackCat—còn được gọi là ALPHV—áp dụng tất cả các kỹ thuật này.
“Trong một số trường hợp, các nhà điều hành BlackCat sử dụng tính năng trò chuyện để đe dọa nạn nhân, tuyên bố rằng họ sẽ thực hiện cuộc tấn công DDoS vào cơ sở hạ tầng của nạn nhân nếu tiền chuộc không được trả,” phân tích đã nêu. “Khi nó xuất hiện cùng với việc sử dụng một trang web rò rỉ, hành vi này được gọi là tống tiền ba lần, một chiến thuật đã được các nhóm như Avaddon và Suncrypt sử dụng trong quá khứ.”
Được mã hóa bằng Rust
Phần mềm này được viết bởi một hoặc nhiều nhà phát triển người Nga sử dụng ngôn ngữ lập trình Rust, có thể đây là lần đầu tiên một nhóm ransomware sử dụng ngôn ngữ mã hóa mới này. Các hiệu quả của mã được biên dịch của Rust phân tích cho biết, cho phép phần mềm độc hại sử dụng rộng rãi mã hóa và mã hóa một số lượng lớn các tính năng trong khi yêu cầu ít chi phí hoạt động.
Trong khi BlackCat là ransomware đầu tiên sử dụng Rust mà Palo Alto Networks gặp phải, thì các phần mềm độc hại khác — chẳng hạn như trình tải xuống giai đoạn đầu, RustyBuer - cũng được phát triển vào năm ngoái bằng ngôn ngữ lập trình, công ty cho biết.
“Rust đã xuất hiện được một thời gian, [và] không phổ biến như các ngôn ngữ lập trình khác, nhưng nó đang nổi tiếng vì nhanh và tiết kiệm bộ nhớ — hai điều có thể được các nhà khai thác ransomware quan tâm,” Santos nói.
Palo Alto Networks cho biết trong phân tích của mình rằng việc sử dụng Rust cho phép phần mềm độc hại chạy trên cả hệ thống Windows và Linux, đồng thời cho phép các nhà phát triển tạo các chiến dịch được cá nhân hóa.
Trong số các kỹ thuật khác, BlackCat cũng sử dụng mã thông báo truy cập để hạn chế những người có thể xem cuộc đàm phán đang diễn ra với nạn nhân. Santos cho biết, chỉ những người tham gia có mã thông báo truy cập mới có thể đăng nhập vào cuộc trò chuyện và trung tâm để trả tiền chuộc, một nỗ lực nhằm tránh bị bên thứ ba theo dõi.
Ông nói: “Các mẫu ransomware truyền thống thường được cấu hình sẵn và bao gồm các liên kết bị rò rỉ và cho phép các thực thể bên ngoài truy cập vào các cuộc đàm phán cũng như các chi tiết bổ sung mà chỉ nạn nhân mới được xem”.
Giảm giá thanh toán sớm
Nhóm BlackCat đã yêu cầu khoản thanh toán tiền chuộc lên tới 14 triệu USD, kèm theo chiết khấu cho những nạn nhân thanh toán trước thời hạn.
Trong khi BlackCat đã thành công kể từ tháng 2.0, hai nhóm ransomware lớn nhất, tính theo số lượng nạn nhân hàng tháng, vẫn tiếp tục là Lockbit XNUMX và Conti.
Mã độc tống tiền Conti 2 năm tuổi tiếp tục thành công với Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) cảnh báo vào tháng 9 về sự gia tăng các cuộc tấn công sử dụng Conti. Các nhà nghiên cứu bảo mật cảnh báo vào tháng 8 rằng một phiên bản viết lại của chương trình ransomware Lockbit, được đặt tên là Lockbit 2.0, đã được phát hành. Nhóm Lockbit tập trung vào nỗ lực tuyển dụng tích cực để thu hút các chi nhánh nhằm phát tán phần mềm độc hại của họ, một chiến lược mà BlackCat rõ ràng đã sao chép. Trang web rò rỉ của nhóm Lockbit đã liệt kê 50 nạn nhân vào tháng 2021 năm 37, trong khi Conti đã xâm phạm XNUMX nạn nhân, theo Palo Alto Networks.
