Milano, 7 aprile 2022
Nel nuovo #report “A bad luck BlackCat”, i ricercatori di #kaspersky rivelano i dettagli di due incidenti cyber condotti dal gruppo di criminali informatici #ransomware #blackcat. La complessità del #malware utilizzato, unita alla vasta esperienza degli attori coinvolti, ha trasformato il gruppo in uno dei player più influenti nell’attuale mercato dei #ransomware. Tecniche e strumenti usati dal gruppo durante gli attacchi confermano il collegamento tra #blackcat ed altri gruppi #ransomware (tristemente) noti come BlackMatter e REvil.
Il gruppo #ransomware #blackcat è un threat actor attivo almeno da dicembre del 2021. A differenza di altri attori #ransomware, #blackcat utilizza un #malware scritto con il linguaggio di programmazione Rust. Grazie alle capacità avanzate di cross-compilation di Rust, #blackcat è in grado di colpire sia i sistemi Windows che Linux. In altre parole, #blackcat ha introdotto continui aggiornamenti e ha favorito un cambiamento all’interno delle tecnologie usate per affrontare le difficoltà date dagli sviluppi dei #ransomware.
BlackCat afferma di essere l’erede di altri noti gruppi #ransomware, come BlackMatter e REvil. La telemetria di #kaspersky prova che diversi membri del nuovo gruppo #blackcat abbiano legami diretti con BlackMatter, dal momento che si servono di strumenti e tecniche che erano già stati ampiamente utilizzati da quest’ultimo.
Nel nuovo #report “A bad luck BlackCat”, i ricercatori di #kaspersky fanno luce su due incidenti cyber di particolare rilievo. Il primo sottolinea il rischio dato dalle risorse di cloud hosting condivise, mentre il secondo propone un approccio agile al #malware personalizzato e come esso venga riutilizzato nelle attività di BlackMatter e #blackcat.
Il primo caso prende in considerazione un attacco rivolto ad un provider di soluzioni ERP (enterprise resource planning) vulnerabile, situato in Medio Oriente e ospitante più siti. Gli attaccanti hanno rilasciato, simultaneamente, due diversi file eseguibili all’interno dello stesso server fisico, riuscendo così a colpire due diverse organizzazioni che il server ospitava virtualmente. Sebbene il gruppo abbia confuso il server infetto come due diversi sistemi fisici, gli attaccanti hanno lasciato tracce importanti che hanno aiutato a determinare lo stile operativo di #blackcat. I ricercatori di #kaspersky hanno determinato che il gruppo sfrutta le vulnerabilità degli asset condivisi tra risorse cloud. Inoltre, in questo caso, il gruppo ha anche rilasciato un file batch Mimikatz, insieme a file eseguibili e utility di recupero password di rete Nirsoft. Un incidente simile ebbe luogo nel 2019 quando REvil, predecessore di BlackMatter, riuscì a penetrare all’interno di un cloud service che supporta un gran numero di studi dentistici negli Stati Uniti. È altamente probabile che #blackcat abbia adottato alcune di queste vecchie tattiche.
Il secondo caso coinvolge una società di petrolio, gas, miniere e costruzioni situata in Sud America, e rivela il collegamento tra #blackcat e l’attività del #ransomware BlackMatter. L’affiliato che si celava dietro questo attacco #ransomware – che pare essere diverso da quello dell’attacco menzionato precedentemente - ha tentato non solo di rilasciare il #ransomware #blackcat all'interno della rete bersagliata, ma avrebbe anche installato un programma di esfiltrazione modificato e personalizzato, chiamato “Fendr”. Questa utility, nota anche con il nome di ExMatter, era stata già precedentemente utilizzata come tratto distintivo dell’attività #malware di BlackMatter.
Dmitry Galov, security researcher del Global Research and Analysis Team (GReAT) di #kaspersky, ha commentato: “Dopo l’uscita di scena di REvil e BlackMatter, era solo questione di tempo prima che un altro gruppo #ransomware prendesse il controllo di questa nicchia. La conoscenza dello sviluppo del #malware, un campione nuovo e scritto da zero in un linguaggio di programmazione insolito e l'esperienza nella gestione delle infrastrutture stanno trasformando il gruppo #blackcat in un player importante nel mercato del #ransomware. Analizzando questi incidenti, siamo riusciti ad evidenziarne le caratteristiche principali, gli strumenti e le tecniche di cui si serve #blackcat per penetrare all’interno delle reti delle vittime. Tutto ciò ci permette di proteggere i nostri utenti da minacce conosciute e sconosciute. Chiediamo alla community di cybersicurezza di unire le forze per lavorare insieme contro nuovi gruppi di cybercriminali, garantendo così un futuro più sicuro”.
È possibile avere maggiori informazioni sul gruppo #ransomware #blackcat a questo link: Securelist.com.
Affinché le #aziende siano in grado di proteggersi dai #ransomware, gli esperti suggeriscono di implementare quanto prima una serie misure. In particolare consigliano di:
© Copyright 2024