Группировка ALPHV, также известная как BlackCat, специализируется на разработке программного обеспечения для вымогательства, или ransomware. Она впервые была замечена в декабре 2021 года и с тех пор продолжает активно функционировать. Особенностью ALPHV стало использование языка программирования Rust для создания вредоносного ПО. Это позволило им обойти системы безопасности, которые не способны анализировать вредоносное ПО, написанное на Rust, и успешно шифровать файлы жертв, атакуя различные операционные системы.
Согласно докладу Федерального бюро расследований США (FBI), опубликованному 19 апреля 2022 года, BlackCat (ALPHV) считается преемником операторов ransomware REvil, DarkSide и BlackMatter. Деятельность этой группы стала заметна после атаки на Colonial Pipeline в мае 2021 года, за которой стоял DarkSide, предшественник BlackCat. В результате атаки система трубопроводов, отвечающая за распределение бензина и реактивного топлива по восточному побережью США, была полностью остановлена.
ALPHV использует модель Ransomware-as-a-Service (RaaS), что делает их привлекательными для потенциальных партнеров. В зависимости от размера выкупа, партнеры получают от 80% до 90% от его стоимости. Каждая новая жертва имеет свой уникальный домен onion, а ALPHV предоставляет 100 терабайт пространства для каждой операции по изъятию данных.
Наиболее часто целью атак BlackCat становятся предприятия из отраслей "Профессиональные, научные и технические услуги" и "Производство". В отрасли профессиональных, научных и технических услуг наиболее затронутыми стали юридические фирмы и услуги.
Что касается методов атаки, то группа BlackCat начинает с получения первоначального доступа к целевым системам, используя украденные учетные данные пользователя или эксплуатируя известные уязвимости Microsoft Exchange. После получения доступа, они компрометируют учетные записи пользователей и администраторов в Active Directory, что позволяет им настроить вредоносные объекты групповой политики (GPO) с помощью планировщика заданий Windows для развертывания вредоносного программного обеспечения.
Затем, получив доступ к сети, злоумышленники отключают меры безопасности целевой организации, удаляя антивирусное программное обеспечение. Заключительными этапами атаки являются получение доменных учетных записей с помощью инструментов AdFind и ADRecon, сбор информации о сети жертвы с помощью SoftPerfect, а также использование Process Hacker и Mimikatz для извлечения учетных данных жертвы
