BlackCat (ALPHV) ransomware knyttet til BlackMatter, DarkSide bander
Black Cat ransomware banden, også kendt som ALPHV, har bekræftet, at de er tidligere medlemmer af den berygtede BlackMatter/ DarkSide ransomware operation.
BlackCat/ALPHV er en ny funktionsrig ransomware operation ny, der blev lanceret i november 2021 og udviklet i Rust-programmeringssproget, hvilket er usædvanligt for ransomware-infektioner.
Ransomwaren er tilpasset med forskellige krypteringsmetoder og muligheder giver mulighed for angreb på en bred vifte af virksomhedsmiljøer.
Mens ransomware bande kalder sig ALPHV, er den af sikkerhed analytiker MalwareHunterTeam opkaldt ransomware BlackCat efter billedet af en sort kat, der anvendes på hvert offers Tor betaling side. Siden da har ransomware operationen været kendt som BlackCat når diskuteret i medierne eller af sikkerhedseksperter.
En kort historie om ransomware rebrands
Mange ransomware operationer køres som en Ransomware-as-a-Service (RaaS), hvor centrale medlemmer er ansvarlige for at udvikle ransomware infektion og administrere servere, mens datterselskaber (aka “annoncer”) er rekrutteret til at bryde virksomhedens netværk og udføre angreb. Som en del af denne ordning tjener de centrale udviklere mellem 10-30% af en løsesumsbetaling, mens affiliates tjener resten. Procenterne er baseret på, hvor meget løsesumsindtægter en bestemt affiliate bringer til operationen.
Mens der har været mange Raas operationer i fortiden, har der været et par top-tier bander, der almindeligvis lukke ned, når de retshåndhævende vejrtrækning ned deres hals og derefter rebrande under nye navne.
Disse ransomware-as-a-service-operationer på øverste niveau og deres rebrands er:
- GandCrab til REvil: GandCrab ransomware-operation lanceret i januar 2018 og lukket ned i juni 2019 efter at have hævdet at tjene 2 mia. Dollars løsepengebetalinger. De blev lanceret som REvil i september 2019, som i sidste ende lukkede ned i oktober 2021 efter at politiet kaprede deres infrastruktur.
- Maze til Egregor: Egregor ransomware begyndte at fungere i maj 2019 og annoncerede formelt sin nedlukning i oktober 2020. Datterselskaber og sandsynligvis operatørerne, menes dog at have rebranded i september som Egregor, der senere forsvandt efter at medlemmer blev anholdt i Ukraine.
- DarkSide til BlackMatter: DarkSide ransomware-operation lanceret i august 2022 og lukket ned i maj 2021 på grund af retshåndhævelsesoperationer ansporet af bandens meget omtalte angreb på Colonial Pipeline. De vendte tilbage som BlackMatter den 31. juli, men lukkede snart ned i november 2021, efter at Emsisoft udnytte en svaghed til at skabe en decryptor og servere blev beslaglagt.
Nogle mener, at Conti var en rebrand af Ryuk, men kilder fortæller BleepingComputer, at de begge er diskrete operationer, der drives af TrickBot Group og ikke er tilknyttet hinanden. Mens nogle datterselskaber har en tendens til at samarbejde med en enkelt RaaS-operation, er det almindeligt, at datterselskaber og penetrationstestere samarbejder med flere bander på én gang. For eksempel, en ransomware affiliate fortalte BleepingComputer, at de arbejdede med Ragnar Locker, Maze, og REvil ransomware operationer samtidigt.
BlackCat rejser sig fra BlackMatters aske
Siden BlackCat ransomware lanceret i november, repræsentanten for LockBit ransomware bande har udtalt, at ALPHV/ BlackCat er en rebrand af DarkSide/ BlackMatter.
The Record offentliggjorde et interviewmed ALPHV / BlackCat, der bekræftede mistanke om, at de var tilknyttet DarkSide / BlackMatter bande. “Som annoncer for darkmatter [DarkSide / BlackMatter], vi lidt fra aflytning af ofre for efterfølgende dekryptering af Emsisoft,” ALPHV fortalte The Record. Mens BlackCat ransomware operatører hævder, at de kun var DarkSide / BlackMatter datterselskaber, der lancerede deres egen ransomware operation, nogle sikkerhedseksperter er ikke at købe det.
En Emsisoft analytiker mener at BlackMatter har erstattet deres dev-team efter Emsisoft udnyttede en svaghed giver ofrene mulighed for at inddrive deres filer gratis og miste ransomware bande millioner af dollars i løsepenge. “Mens Alphv hævder at være tidligere DS / BM datterselskaber, er det mere sandsynligt, at de * er * DS / BM, men forsøger at distancere sig fra dette mærke på grund af omdømme hit det tog efter at have lavet en fejl, der koster datterselskaber flere millioner af dollars,” kom det fra Callow.
Tidligere var det muligt at bevise, at forskellige ransomware-operationer var relateret ved at lede efter kode ligheder i krypteringsenhedens kode. Da BlackCat-krypteringsenheden er bygget fra bunden i Rust-programmeringssproget, fortalte Emsisofts til BleepingComputer, at disse kodningsligheder ikke længere eksisterer. Wosar siger, at der er ligheder i de funktioner og konfigurationsfiler, understøtter, at det er den samme gruppe bag BlackCat og DarkSide / BlackMatter ransomware operationer.
Uanset om de er lige forbi datterselskaber, der besluttede at lancere deres egen ransomware operation eller en rebrand af DarkSide / BlackMatter, de har vist sig at være i stand til at trække ud store corporate angreb og er hurtigt samle ofre.
BlackCat vil være en ransomware operation, at alle retshåndhævende, netværk forsvarere, og sikkerhed fagfolk nødt til at holde et vågent øje med.
Bande gentager deres fejl
Ironisk nok, hvad der førte til undergang DarkSide / BlackMatter operationer kan i sidste ende være, hvad der forårsager en hurtig død for BlackCat / ALPHV.
Efter DarkSide angreb Colonial Pipeline, den største brændstofledning i USA, begyndte den at føle det fulde pres fra international retshåndhævelse og den amerikanske regering.
Dette pres fortsatte, efter at de rebranded som BlackMatter, med retshåndhævelse beslaglægge deres servere og får dem til at lukke ned igen. Hvad der kan have skubbet BlackCat ransomware i søgelyset er ironisk nok et andet angreb på olieleverandører og distributionsselskaber, der fører til forsyningskæden spørgsmål.
I denne uge angreb BlackCat, en tysk benzindistributør, og Mabanaft GmbH, en olieleverandør. Disse angreb påvirkede endnu en gang brændstofforsyningskæden og forårsagede gasmangel.
BlackCat operatører, selv om, fortalte The Record, at de ikke kunne kontrollere, hvem deres datterselskaber angribe og forbyde dem, der ikke er i overensstemmelse med bandens politikker. Disse politikker angiver, at associerede selskaber ikke bør målrette offentlige myndigheder, sundhedspleje eller uddannelsesinstitutioner.
Det ser dog ud til, at Darkside-banden ikke lærte af deres tidligere fejl og endnu en gang angreb kritisk infrastruktur, hvilket sandsynligvis vil placere dem fast i sigtekornet på retshåndhævelsen.
Kilde: BleepingComputers