تستهدف مجموعة BlackCat Ransomware الشركات التي لديها أنظمة ضعيفة تعمل بنظام التشغيل Windows و Linux
كشف باحثون من شركة كاسبرسكي للأمن السيبراني عن حادثتين من قبل مجموعة برامج الفدية BlackCat ، التي تعد واحدة من اللاعبين الرئيسيين في سوق برامج الفدية اليوم.
في تقرير صدر مؤخرا بعنوان "حظ سيئ ل BlackCat" ، تعلم باحثو كاسبرسكي الأدوات والتقنيات المستخدمة عند تنفيذ محاولة الهجوم أكدت العلاقة بين BlackCat ومجموعات الفدية المعروفة الأخرى ، مثل BlackMatter و REvil.
مجموعة BlackCat Ransomware هي جهة فاعلة تهديد تعمل منذ ديسمبر 2021 على الأقل. على عكس العديد من الجهات الفاعلة الأخرى في برامج الفدية ، تتم كتابة البرامج الضارة BlackCat بلغة برمجة Rust.
"بفضل قدرات التجميع المتبادل المتقدمة من Rust ، يمكن ل BlackCat استهداف أنظمة Windows و Linux. وبعبارة أخرى، أدخلت BlackCat تطورات تدريجية وتحولات تكنولوجية تستخدم لمواجهة تحديات تطوير برامج الفدية".
يدعي الممثل أنه خليفة لمجموعات برامج الفدية المعروفة مثل BlackMatter و REvil. ومن بين الحادثتين اللتين كشفت عنهما كاسبرسكي، تظهر إحداهما المخاطر التي تشكلها موارد الاستضافة السحابية المشتركة، وتوضح الأخرى نهجا رشيقا تجاه برامج ضارة محددة أعيد استخدامها عبر أنشطة BlackMatter وBlackCat.
وشهدت الحالة الأولى هجمات على مزودي خدمات تخطيط موارد المؤسسات، الذين هم عرضة للخطر في الشرق الأوسط ويستضيفون مواقع متعددة.
يرسل المهاجم في وقت واحد اثنين من الملفات التنفيذية المختلفة إلى نفس الخادم الفعلي ، مستهدفا مؤسستين مختلفتين مستضافتين هناك تقريبا.
وقال غالوف: "على الرغم من أن المجموعة أساءت تفسير الخادم المصاب على أنه نظامان ماديان مختلفان ، إلا أن المهاجم ترك بصمة مهمة لتحديد أسلوب تشغيل BlackCat".
وخلص باحثو كاسبرسكي إلى أن الممثل استغل مخاطر الأصول المشتركة عبر الموارد السحابية. بالإضافة إلى ذلك ، في هذه الحالة ، ترسل المجموعة أيضا ملفات دفعية من Mimikatz إلى جانب الملفات التنفيذية والأدوات المساعدة لاستعادة كلمة مرور شبكة nirsoft.
وشملت القضية الثانية شركات النفط والغاز والتعدين والبناء في أمريكا الجنوبية وكشفت عن وجود صلة بين BlackCat ونشاط برامج الفدية BlackMatter.
لم تحاول الشركة التابعة وراء هجوم برامج الفدية هذه تسليم برامج الفدية BlackCat داخل الشبكة المستهدفة فحسب ، بل سبقت أيضا تسليم برامج الفدية بتثبيت أداة أداة استخراج مخصصة معدلة ، تسمى Fendr.
تم استخدام الأداة المساعدة ، المعروفة أيضا باسم ExMatter ، في السابق حصريا كجزء من نشاط برامج الفدية في BlackMatter.
"بمجرد أن أغلقت مجموعتا REvil و BlackMatter العمليات ، لم يكن عليها الانتظار طويلا حتى تستحوذ مجموعة أخرى من برامج الفدية على سوقها المتخصصة. إن المعرفة بتطوير البرامج الضارة ، والأمثلة الجديدة المكتوبة من الصفر بلغات برمجة غير عادية ، والخبرة في الحفاظ على البنية التحتية ، حولت مجموعة BlackCat إلى لاعب رئيسي في سوق برامج الفدية. "
ومن خلال تحليل هذا الحادث الكبير، سلط باحثو كاسبرسكي الضوء على الميزات والأدوات والتقنيات الرئيسية التي تستخدمها BlackCat عند اختراق شبكتها المستهدفة.
وقال غالوف: "تساعدنا هذه المعرفة في الحفاظ على أمن وحماية المستخدمين من التهديدات المعروفة وغير المعروفة على حد سواء".
"نحث مجتمع الأمن السيبراني على توحيد الجهود والعمل معا ضد مجموعات المجرمين السيبرانيين الجديدة من أجل مستقبل أكثر أمانا."