BlackCat маскирует вредоносный загрузчик Nitrogen под популярный корпоративный софт

Киберпреступные объединения, действующие в рамках вымогательской операции BlackCat (ALPHV), перешли на новую тактику — использование вредоносной рекламы для получения первоначального доступа к системам жертв.

Под видом популярного бизнес-софта, такого как корпоративный мессенджер Slack или VPN-клиент AnyConnect от Cisco, злоумышленники распространяют вредоносную программу Nitrogen, которая служит для установления первоначального контроля над системой и последующего запуска вымогательского ПО.

Как сообщает команда реагирования на угрозы eSentire, её клиенты неоднократно подвергались атакам аффилированных групп ALPHV/BlackCat. Кампания с использованием Nitrogen была впервые зафиксирована в июне, однако применение вредоносной рекламы для её распространения — новая тактика.

«Nitrogen — это ПО для первоначального проникновения, использующее библиотеки Python для скрытности», — поясняет Киган Кеплингер, старший исследователь угроз в eSentire. «Этот плацдарм обеспечивает злоумышленникам первоначальный вход в IT-среду целевой организации».

Как только хакеры закрепляются в сети атакуемой компании, они могут заразить её любым вредоносным ПО по своему выбору. В рамках рассмотренной операции этим ПО была программа-вымогатель ALPHV/BlackCat.

Использование популярных Python-библиотек помогает скрыть следы вторжения в обычном трафике. В то время как дополнительные методы обфускации ещё больше затрудняют обнаружение атаки.

Группа BlackCat известна в киберпреступном сообществе практически полным отсутствием чести и моральных принципов. Так, вымогательское ПО банды не раз использовалось в атаках на медицинские учреждения, что считается неприемлемым среди многих киберпреступников. В начале этого года хакеры и вовсе пытались шантажировать одну из больниц, опубликовав обнажённые фотографии пациенток с раком груди.

Для контраста, вымогательская группировка LockBit уже неоднократно приносила публичные извинения за действия своих аффилиатов. Так, в январе хакеры предоставили дешифратор атакованному «по ошибке» детскому госпиталю в Канаде, а в апреле ситуация повторилась для американского школьного округа Olympia Community Unit 16.

Возвращаясь к группировке BlackCat, можно отметить, что в последнее время она демонстрирует стремление развиваться и укреплять свои позиции. Недавно руководители группы приняли в свою партнёрскую программу хакерскую группировку Octo Tempest, богатый опыт которой в области SIM-свопинга, смс-фишинга и социальной инженерии оказался достаточно привлекательным для BlackCat, чтобы предложить группировке сотрудничество.

Таким образом, несмотря на предпринимаемые меры безопасности, BlackCat продолжает эволюционировать и адаптироваться к новым условиям. Их последняя тактика с вредоносной рекламой демонстрирует изощрённость и гибкость подхода группы.

Компаниям необходимо усилить мониторинг на предмет подозрительной активности и инвестировать в надёжные средства защиты, чтобы не стать следующей жертвой этой беспринципной группы киберпреступников.