Ransomware BlackCat menargetkan organisasi ritel, konstruksi, dan transportasi AS, Eropa
Security

Ransomware BlackCat menargetkan organisasi ritel, konstruksi, dan transportasi AS, Eropa

Unit 42 Palo Alto Networks merilis terobosan mendalam ke dalam ransomware BlackCat, yang muncul pada pertengahan November 2021 sebagai grup ransomware-as-a-service (RaaS) inovatif yang memanfaatkan bahasa pemrograman Rust dan menawarkan afiliasi 80-90% pembayaran tebusan.

Pada bulan Desember, keluarga ransomware, juga dikenal sebagai ALPHV, mengumpulkan setidaknya 10 korban, menjadikannya jumlah korban terbesar ketujuh yang terdaftar di situs kebocoran mereka di antara kelompok ransomware yang dilacak oleh Unit 42.

Doel Santos, analis intelijen ancaman dengan Unit 42, mengatakan kepada ZDNet kelompok ini telah menyerang berbagai industri, termasuk konstruksi dan teknik, ritel, transportasi, layanan komersial, asuransi, mesin, layanan profesional, telekomunikasi, komponen mobil dan farmasi.

Pekan lalu, merek fashion Italia Moncler terungkap menjadi korban BlackCat mulai Desember.

Selain ditulis dalam bahasa Rusia dan dikodekan dalam bahasa pemrograman Rust, malware itu menonjol bagi Santos karena sejumlah alasan lain.

“Apa yang membuat Blackcat menonjol adalah penggunaan token kunci akses pribadi mereka. Sebagian besar grup yang telah kami lihat sebelumnya menyertakan tautan langsung dan kunci yang disematkan dalam sampel, yang memudahkan untuk melihat dan mengonfirmasi ransomware korban,” kata Santos.

Juga: Gedung Putih, EPA merilis rencana keamanan siber 100 hari untuk operator utilitas air

“Sampel ransomware Blackcat tidak menyertakan kunci. Sebaliknya, mereka harus dikirimkan oleh operator. Tanpa itu, tidak ada cara bagi entitas eksternal untuk mendapatkan akses ke situs negosiasi mereka atau mengidentifikasi korban kecuali mereka memiliki salinan persisnya. catatan tebusan dengan kunci persis yang digunakan untuk mengeksekusi ransomware.”

Unit 42 mencatat bahwa afiliasi kelompok tersebut telah “mengambil pendekatan agresif untuk menyebut nama dan mempermalukan korban, mendaftarkan lebih dari selusin di situs kebocoran mereka dalam waktu kurang dari sebulan.”

“Jumlah terbesar korban kelompok sejauh ini adalah organisasi AS, tetapi BlackCat dan afiliasinya juga menyerang organisasi di Eropa, Filipina, dan lokasi lain,” tulis laporan tersebut.

screen-shot-2022-01-27-at-6-52-14-pm.png

Satuan 42

“Penggunaan ransomware BlackCat telah berkembang pesat karena berbagai alasan (sebagai perbandingan, AvosLocker hanya mendaftarkan segelintir korban secara publik dalam waktu dua bulan setelah diketahui). Pemasaran yang efektif ke afiliasi adalah faktor yang mungkin. Selain menawarkan bagian yang menarik pembayaran tebusan, kelompok tersebut telah meminta afiliasi dengan memasang iklan di forum seperti Ransomware Anonymous Market Place (RAMP),” tambah laporan itu.

“Meskipun ini bukan malware pertama yang menggunakan Rust, ini adalah salah satu, jika bukan yang pertama, ransomware yang menggunakannya. Dengan memanfaatkan bahasa pemrograman ini, pembuat malware dapat dengan mudah mengompilasinya ke berbagai sistem operasi. arsitektur. Mengingat banyak pilihan aslinya, Rust sangat dapat disesuaikan, yang memfasilitasi kemampuan untuk memutar dan mengindividualisasikan serangan.”

Juga: QNAP memperingatkan pengguna NAS tentang ransomware DeadBolt, mendesak pelanggan untuk memperbarui

Kelompok ini juga memeras korban dengan mencuri data mereka sebelum menyebarkan ransomware, mengancam akan membocorkan data dan meluncurkan serangan penolakan layanan (DDoS) terdistribusi.

BlackCat telah terlihat menargetkan sistem Windows dan Linux, menurut Unit 42, yang menambahkan bahwa mereka telah mengamati afiliasi yang meminta jumlah uang tebusan hingga $ 14 juta. Dalam beberapa kasus, afiliasi telah menawarkan diskon sebesar $9 juta jika uang tebusan dibayarkan sebelum waktu yang ditentukan. Mereka mengizinkan uang tebusan dibayarkan dalam Bitcoin dan Monero.

‚ÄúDalam beberapa kasus, operator BlackCat menggunakan obrolan untuk mengancam korban, mengklaim bahwa mereka akan melakukan serangan DDoS pada infrastruktur korban jika uang tebusan tidak dibayarkan. Ketika muncul selain penggunaan situs kebocoran, praktik ini adalah dikenal sebagai pemerasan rangkap tiga, taktik yang diamati digunakan oleh kelompok-kelompok seperti Avaddon dan Suncrypt di masa lalu,” Unit 42 menjelaskan.

“Salah satu fitur unik dari ransomware BlackCat adalah bahwa obrolan negosiasi hanya dapat diakses oleh mereka yang memegang kunci token akses atau catatan tebusan — grup tersebut telah melakukan upaya untuk menghindari pengintaian pihak ketiga.”

Pakar ransomware Recorded Future, Allan Liska, mengatakan bahwa berdasarkan beberapa faktor, termasuk penggunaan bahasa pemrograman Rust, Black Cat/ALPHV tampaknya merupakan grup yang bersumber dengan baik.

Liska mengatakan fakta bahwa grup tersebut memulai dengan varian ransomware yang menargetkan sistem Windows, Linux, dan ESXi “menunjukkan tingkat kecanggihan.”

“Mereka dengan cepat menjadi salah satu grup ransomware tingkat atas. Hal ini sebagian disebabkan oleh fakta bahwa penawaran RaaS mereka sangat agresif, menawarkan kepada afiliasi kemampuan 80% -90% dari tebusan yang dibayarkan, persentase yang luar biasa tinggi. Meskipun demikian beberapa keberhasilan awal, tidak setiap afiliasi terkesan, seperti yang ditunjukkan oleh ulasan yang sangat negatif ini,” kata Liska, membagikan tangkapan layar afiliasi yang mengeluh karena dilarang oleh BlackCat karena menargetkan sebuah organisasi di Turkmenistan.

Meskipun Turkmenistan tidak berada di CIS, ia memiliki hubungan dekat dengan Rusia.

“Target publik mereka adalah organisasi yang lebih besar, dan mereka tampak sangat agresif ketika berhadapan dengan negosiator dan afiliasi mereka (misalnya larangan dari program afiliasi setelah 2 minggu tidak aktif). Kami akan melihat apakah kegemaran mereka untuk menjadi sombong melebihi persentase menarik yang mereka tawarkan,” tambah Liska.

Posted By : togel hari ini hongkong