Avatar

BlackCat to nowa i rozwijająca się grupa oprogramowania ransomware-as-a-service (RaaS), która w ciągu ostatnich kilku miesięcy atakowała kilka organizacji na całym świecie. Pojawiają się również informacje o związku między BlackCat a grupami BlackMatter/DarkSide, odpowiedzialnymi za atak na rurociąg Colonial Pipeline w zeszłym roku. Zrozumienie technik, narzędzi i sposobów działania cyberprzestępców wykorzystujących RaaS pomaga wykrywać i zapobiegać atakom, w przypadku których każda sekunda oznacza utratę danych. Eksperci Cisco Talos podkreślają, że ma to obecnie szczególne znaczenie, gdy w obliczu wojny w Ukrainie zaobserwowano wzmożoną aktywność hakerów.

Jak wskazują eksperci Cisco Talos oprogramowanie ransomware BlackCat, znane również jako „ALPHV”, szybko zyskało rozgłos z powodu wykorzystywania go w atakach, gdzie organizacje były podwójnie szantażowane. Z jednej strony cyberprzestępcy żądali okupu za odszyfrowanie danych, z drugiej za nieujawnienie treści skradzionych plików.

Cyberprzestępcy uczą się na błędach

Pojawienie się BlackCat jest również dowodem na ewolucję grup cyberprzestępców. W tym przypadku składa się ona z osób, które mają doświadczenie w wykorzystywaniu RaaS, a kolejne ataki są planowane w oparciu o wiedzę zdobytą podczas działalności w innych grupach. Podwójny szantaż jest z tej perspektywy przykładem ekspansji „biznesowej”, mającej na celu dodanie kolejnego źródła przychodów. Samo oprogramowanie jest wciąż ulepszane i dopasowywane do potrzeb konkretnego ataku. Eksperci Cisco Talos podkreślają, że ransomware nie jest wolne od błędów i zdarzają się przypadki, gdy organizacjom udaje się wykorzystać luki, aby odszyfrować pliki bez płacenia okupu.

Ataki przeprowadzane przez tę samą rodzinę oprogramowania ransomware mogą różnić się technikami i procedurami. Cyberprzestępcy korzystający z RaaS są znani z tego, że udostępniają materiały szkoleniowe oraz informacje o ogólnych technikach i narzędziach, takie jak te, które zebrano w poradniku dotyczącym oprogramowania ransomware Conti. Dokument został niedawno odkryty przez specjalistów ds. cyberbezpieczeństwa.

Wojna w cyberprzestrzeni

Cyberprzestępcy nie są motywowani jedynie zyskiem. Niekiedy działają na zlecenie rządów, a dokonywanie przez nich ataki mają na celu destabilizację sytuacji w danym kraju. Eksperci Cisco Talos monitorują sytuację w Ukrainie, aby zapewnić wsparcie partnerom oraz klientom. Działania Cisco obejmują dystrybucję nowych zabezpieczeń Cisco w oparciu o wyniki badań i analizę złośliwego oprogramowania, wprowadzenie wewnętrznego systemu zarządzania kryzysowego w celu usprawnienia wymiany informacji z krajowymi i międzynarodowymi partnerami prowadzącymi działania wywiadowcze, w tym Narodową Policja Ukrainy.

Obecnie obserwujemy sytuację, w której cyberprzestępcy zawierają sojusze mające na celu destabilizację sytuacji w Rosji, co stanowi odwet za zbrojną napaść na Ukrainę. Przykład stanowi organizacja o nazwie „IT Army”. Niestety nie brakuje również osób chcących zarobić na wojnie w Ukrainie. Eksperci Cisco Talos ostrzegali niedawno, że oprogramowanie wykorzystywane przez IT Army do ataków DDoS na rosyjską infrastrukturę może zawierać malware. To oznacza, że osoba, która z niego skorzysta sama padnie ofiarą ataku i może stracić cenne dane.

Zdaniem ekspertów Cisco Talos najskuteczniejszą bronią w walce ze zorganizowanymi grupami wykorzystującymi ransomware są współpraca i wymiana informacji. Obecnie, gdy cyberataki stanowią element wojny w Ukrainie, wsparcie administracji publicznej przez ekspertów z obszaru IT ma kluczowe znaczenie.

Więcej o zaangażowaniu Cisco na rzecz zapewnienia cyberbezpieczeństwa w Ukrainie można dowiedzieć się słuchając podcastu Talos Takes.