Лаборатория Касперского рассказала, что ей удалось узнать о вымогателях BlackCat
Как ранее сообщал SecurityLab, партнеры более нефункционирующих RaaS-сервисов BlackMatter и REvil организовали новую группировку BlackCat, также известную как ALPHV, которая уже активно атакует поставщиков сервисов планирования ресурсов предприятий и промышленные компании.
Согласно последнему отчету «Лаборатории Касперского», вымогатели заразили «большое количество корпоративных жертв».
Как именно распределяются роли в новой группировке, между ее партнерами и другими киберпреступными сервисами, пока неизвестно, сообщил старший исследователь безопасности ЛК Курт Баумгартнер (Kurt Baumgartner).
«Скорее всего, все атаки BlackCat осуществляются участниками обеих группировок, которые поддерживают код и сервис, а партнеры делают собственную работу. Некоторая работа также может делегироваться дальше брокерам доступа и взломщикам из других группировок», - пояснил Баумгартнер.
Как выяснили специалисты ЛК, BlackCat использует модифицированную версию закрытого инструмента под названием Fendr (модифицированная версия получила название ExMatter), которым ранее пользовалась только BlackMatter. В частности, «коты» использовали его для извлечения данных из сетей компаний перед развертыванием вымогательского ПО в декабре 2021-го и январе 2022 года.
Группировка является одной из немногих, использующих популярный, но все еще малораспространенный язык программирования Rust, позволяющий ей быстро компилировать инструменты для нескольких платформ. Благодаря Rust хакеры могут выпускать одну версию инструмента для Windows и Linux (кросс-компиляция) и выполнять тщательную проверку безопасности для уменьшения числа уязвимостей.
Специалисты ЛК зафиксировали атаки BlackCat на поставщика сервисов планирования ресурсов для предприятий га Среднем Востоке. Злоумышленники похитили учетные данные и зашифровали ее жесткие диски. Вторая жертва – нефтегазовая компания в Южной Америке.