Группировка ALPHV, также известная как BlackCat, специализируется на разработке программного обеспечения для вымогательства, или ransomware. Она впервые была замечена в декабре 2021 года и с тех пор продолжает активно функционировать. Особенностью ALPHV стало использование языка программирования Rust для создания вредоносного ПО. Это позволило им обойти системы безопасности, которые не способны анализировать вредоносное ПО, написанное на Rust, и успешно шифровать файлы жертв, атакуя различные операционные системы.
Согласно докладу Федерального бюро расследований США (FBI), опубликованному 19 апреля 2022 года, BlackCat (ALPHV) считается преемником операторов ransomware REvil, DarkSide и BlackMatter. Деятельность этой группы стала заметна после атаки на Colonial Pipeline в мае 2021 года, за которой стоял DarkSide, предшественник BlackCat. В результате атаки система трубопроводов, отвечающая за распределение бензина и реактивного топлива по восточному побережью США, была полностью остановлена.
ALPHV использует модель Ransomware-as-a-Service (RaaS), что делает их привлекательными для потенциальных партнеров. В зависимости от размера выкупа, партнеры получают от 80% до 90% от его стоимости. Каждая новая жертва имеет свой уникальный домен onion, а ALPHV предоставляет 100 терабайт пространства для каждой операции по изъятию данных.
Наиболее часто целью атак BlackCat становятся предприятия из отраслей "Профессиональные, научные и технические услуги" и "Производство". В отрасли профессиональных, научных и технических услуг наиболее затронутыми стали юридические фирмы и услуги.
Что касается методов атаки, то группа BlackCat начинает с получения первоначального доступа к целевым системам, используя украденные учетные данные пользователя или эксплуатируя известные уязвимости Microsoft Exchange. После получения доступа, они компрометируют учетные записи пользователей и администраторов в Active Directory, что позволяет им настроить вредоносные объекты групповой политики (GPO) с помощью планировщика заданий Windows для развертывания вредоносного программного обеспечения.
Затем, получив доступ к сети, злоумышленники отключают меры безопасности целевой организации, удаляя антивирусное программное обеспечение. Заключительными этапами атаки являются получение доменных учетных записей с помощью инструментов AdFind и ADRecon, сбор информации о сети жертвы с помощью SoftPerfect, а также использование Process Hacker и Mimikatz для извлечения учетных данных жертвы
Наглядный пример, как уязвимость в ПО парализовала американскую медицину.
UnitedHealth на своем примере показала, что на кибербезопасности экономить нельзя.
Change Healthcare не может оправиться после масштабной кибератаки.
Кибератака на Change Healthcare напомнила властям, что зло никуда не исчезло.
Спецслужбы отрицают свою причастность к недавним событиям, хакеры провернули всё сами.
А как же преступный кодекс? Неужели он ничего не значит для вымогателей?
Группа возобновила атаки на критическую инфраструктуру и стала ещё агрессивнее.
Переход на бумажные документы - самое маленькое, что принесла разрушительная атака.
Тысячи жертв и миллионные выкупы: пора прекращать этот беспредел.
190 ГБ секретов или круглая сумма? Что выберет Trans-Northern Pipelines?
Исследователи выявили связь опасного вредоноса с вымогателями из ALPHV/BlackCat.
Физическая безопасность Америки находится в лапах коварных вымогателей.
Что связывает группы с легендарной BlackMatter?
Компания объяснила, почему не боится за свои финансы после кибератаки.
Атака на Ultra I&C раскрыла хакерам чувствительные данные ФБР, НАТО и ВВС Швейцарии.
Отчёт NCC Group подводит статистику вымогательских атак к концу года.
Спустя чуть больше месяца раскрылись подробности атаки, которая парализовала рынок недвижимости в США.
Смогут ли вымогатели восстановить свое положение в темном сообществе?
Международная операция помогла жертвам сэкономить $68 млн, а конкурентам группы привлечь новых клиентов.
Что стало причиной - технический сбой или рейд ФБР?
Хакерам BlackCat так понравилось взламывать системы американского дистрибьютора, что они сделали это снова.
Вымогатели BlackCat следят за трендами в киберпреступном мире.
Поддельная реклама стала новым вектором атаки для известной вымогательской группировки.
С начала ноября компания утверждала, что заявления BlackCat – обычный блеф.
Вот как кибератака переходит в юридическую плоскость.
Dragos заявил, что им известно о «необоснованном заявлении» об утечке информации через третье лицо.
Группа объявила плохие новости для гостей и сотрудников крупнейших сетей отелей.
Организация McLaren Health Care заметает следы взлома, но хакеры BlackCat «тоже умеют шутить».
6 терабайт данных и репутация на кону – согласится ли компания на условия серийных вымогателей?
Данные производителя автотехники попали в лапы BlackCat. Что будет дальше?
Еще 3 компании пострадали от действий ALPHV и Scattered Spider. Кто же они?
Об атаках на MGM и Caesars уже известно всем, но как преступникам это удалось?
Хакеры BlackCat не дремлют, обрушивая свою ярость на всё большее число компаний.
История рассказывает сама себя на платформе Х.
Кому верить, если даже версии представителей банд сильно разнятся.
Вымогательская стрелка указывает на большие проблемы с кибербезопасностью японской компании.
Кто же снится руководителям корпораций в ночных кошмарах?
Инструменты Remcom и Impacket делают своё дело, значительно облегчая боковое перемещение хакеров по сетям жертв.
500 ГБ похищенных данных, похоже, не предоставляют какой-либо ценности для злоумышленников.
Поисковые системы сами проиндексируют слитую информацию и разнесут её по Интернету.
Зачем известные киберпреступники сменили вектор деятельности, отказавшись от былых методов и инструментов?
Исследователи Chainalysis изучили вопрос и пришли к неутешительным выводам…
Что теперь будет с водой, газом и электричеством в Австралии и Новой Зеландии?
Не скачивайте WinSCP с подозрительных сайтов!