Группировка ALPHV, также известная как BlackCat, создала новый опасный щифровальщик-вымогатель BlackCat, который был изучен экспертами «Лаборатории Касперского».
Компания сообщает, что создатели шифровальщика из BlackСat предлагают свои услуги по схеме Ransomware-as-a-Service (RaaS), то есть предоставляют другим злоумышленникам доступ к своей инфраструктуре и вредоносному коду за процент от выкупов. Кроме того, они, вероятно, берут на себя переговоры с жертвой. Таким образом, все, что остается оператору — получить доступ к корпоративной среде, так что разработки BlackCat применяются для атак на компании разного размера по всему миру.
«BlackCat написан на языке Rust, благодаря чему злоумышленникам удалось добиться определенной кроссплатформенности: варианты зловреда существуют и под Windows и под Linux.
Кроме того, они используют утилиту Fendr, которая служит для эксфильтрации данных из зараженной инфраструктуры. Использование этого инструмента наводит на мысль, что BlackCat может быть просто ребрендингом группировки BlackMatter — раньше Fendr, также известный как ExMatter, и этот инструмент использовался только ими»,- отмечают эксперты.
Шифровальщиком BlackCat была атакована южноамериканская промышленная компания, занимающуюся полезными ископаемыми и строительством, а также клиенты ближневосточной организации, предоставляющей инструменты для планирования ресурсов предприятия.
Беспокойство экспертов вызывает модернизация, которую претерпел инструмент Fendr. Теперь он умеет автоматически выкачивать гораздо более широкий спектр файлов по сравнению с прошлыми случаями его применения группировкой BlackMatter. Ему добавили способность находить файлы с расширениями, которые используются приложениями для промышленного дизайна и инструментами для удаленного доступа. Это может означать, что создатели зловреда нацелились на промышленные среды.
Для того чтобы компании не потеряли важную информацию, эксперты рекомендуют защищать все корпоративные устройства при помощи надежных решений и регулярно обучать сотрудников правилам информационной безопасности. Они считают, что сейчас, когда благодаря росту предложений Ransomware-as-a-Service количство атак при помощи шифровальщиков-вымогателей растет, важно чтобы каждая компания имела четкую многоуровневую стратегию защиты от этой угрозы.
Более подробную техническую информацию о BlackCat вместе с индикаторами компрометации можно найти на блоге Securelist, отмечает представительство компании «Лаборатория Касперского» в Армении.