هذا النوع الجديد الشرس من برامج الفدية يطارد 60 منظمة مختلفة حول العالم

أصاب نوع جديد من برامج الفدية BlackCat ، المعروف أيضا باسم ALPHV ، ما لا يقل عن 60 مؤسسة مختلفة في جميع أنحاء العالم بين نوفمبر 2021 ومارس 2022.

في تقرير تحقيق أجراه مكتب التحقيقات الفيدرالي (FBI) ، BlackCat هو ممثل برامج الفدية كخدمة (RaaS) يستخدم بنجاح RUST ، والتي تعتبر لغة برمجة أكثر أمانا تقدم تحسينات موثوقة في الأداء ومعالجة متزامنة.

برنامج الفدية BlackCat نفسه قابل للتخصيص ومجهز بدعم طرق وخيارات تشفير متعددة تجعل من السهل تخصيص الهجمات لمجموعة متنوعة من بيئات المؤسسات.

منذ بداية العام ، أصدر مكتب التحقيقات الفيدرالي تحذيرات أخرى تؤكد كيف تستهدف عصابات برامج الفدية ، بما في ذلك BlackByte و Ragnar Locker و Avoslocker ، العشرات من منظمات البنية التحتية الحيوية في الولايات المتحدة.

وقال مكتب التحقيقات الفيدرالي: "عادة ما تطلب BlackCat الدفع بعملة Bitcoin و Monero مقابل مفاتيح فك التشفير ، وعلى الرغم من أن الطلبات عادة ما تكون بالملايين ، إلا أنها غالبا ما تقبل المدفوعات التي تقل عن الطلب الأولي".

علاوة على ذلك ، تتمتع BlackCat أيضا بعلاقات قوية مع Darkside (المعروف أيضا باسم Blackmatter) ، وتتمتع المجموعة بشبكة واسعة وخبرة في تشغيل البرامج الضارة وهجمات برامج الفدية.

وقال مكتب التحقيقات الفيدرالي: "يرتبط العديد من المطورين وغاسلي الأموال ل BlackCat / ALPHV ب Darkside / Blackmatter ، مما يدل على أن لديهم شبكات واسعة وخبرة في عمليات برامج الفدية".

تم إطلاق عملية DarkSide RaaS في أغسطس 2020 وتم إغلاقها في مايو 2021 بعد محاولة من قبل وكالات إنفاذ القانون لإسقاط العصابة في أعقاب هجوم تم نشره على نطاق واسع على حدث Colonial Pipeline.

في حين تم تغيير اسمها إلى BlackMatter في 31 يوليو ، فقد أجبرت على الإغلاق مرة أخرى في نوفمبر 2021 ، بعد أن اكتشفت Emsisoft واستغلت ثغرة في برامج الفدية لإنشاء أداة فك تشفير ، وتم الاستيلاء على خوادم العصابة.

كيف هاجمت عصابة BlackCat Ransomware ضحاياها

عادة ما تبدأ الهجمات بحساب مخترق ، مما يمنح المهاجم وصولا مبكرا إلى نقطة النهاية المستهدفة. ثم تقوم المجموعة بخرق حسابات مستخدمي Active Directory ومسؤوليه، وتستخدم "جدولة مهام Windows" لتكوين كائن نهج مجموعة ضار (GPO)، لنشر برامج الفدية.

استخدم النشر الأولي البرامج النصية PowerShell ، إلى جانب Cobalt Strike ، وميزات الأمان المعطلة في شبكة الضحية.

ثم يقوم المهاجم بتنزيل أكبر قدر ممكن من البيانات ، قبل قفل النظام. ويحاولون حتى سحب البيانات من أي مزود استضافة سحابية يمكنهم العثور عليه. أخيرا ، بمساعدة البرامج النصية لنظام التشغيل Windows ، يمكن ل BlackCat نشر برامج الفدية على مضيفين إضافيين.

أنشأ مكتب التحقيقات الفيدرالي أيضا قائمة كاملة بعمليات التخفيف الموصى بها ، بما في ذلك مراجعة وحدات التحكم في المجال والخوادم ومحطات العمل والدلائل النشطة لحسابات المستخدمين الجدد أو غير المعروفين.

بالإضافة إلى ذلك، يمكن للمستخدمين نسخ البيانات احتياطيا بانتظام، ومراجعة برامج جدولة المهام للمهام المجدولة غير المعروفة، وطلب بيانات اعتماد المسؤول لأي عملية تثبيت برنامج.