Experts vinden enkele filialen van BlackMatter die nu BlackCat Ransomware verspreiden

Rançongiciels BlackMatter et BlackCat Nachrichten

Een analyse van twee ransomware-aanvallen heeft: geïdentificeerde overlappingen in de tactieken, technieken en procedures (TTP’s) tussen BlackCat en BlackMatter, wat wijst op een sterke verbinding tussen de twee groepen.

Hoewel het typisch is voor ransomware-groepen om hun activiteiten te rebranden als reactie op een beter inzicht in hun aanvallen, markeert BlackCat (ook bekend als Alphv) een nieuwe grens doordat het cybercriminaliteitskartel is opgebouwd uit gelieerde ondernemingen van andere ransomware-as-a-service (RaaS). ) activiteiten.

BlackCat verscheen voor het eerst in november 2021 en heeft zich sindsdien de afgelopen maanden op verschillende organisaties wereldwijd gericht. Het is genoemd omdat het vergelijkbaar is met BlackMatter, een kortstondige ransomware-familie die afkomstig is van DarkSide, dat op zijn beurt bekendheid verwierf vanwege zijn spraakmakende aanval op Colonial Pipeline in mei 2021.

In een interview met Recorded Future’s The Record vorige maand, verwierp een BlackCat-vertegenwoordiger speculaties dat het een rebranding van BlackMatter is, maar merkte op dat het bestaat uit filialen die geassocieerd zijn met andere RaaS-groepen.

“Voor een deel zijn we allemaal verbonden met Gandrevil [GandCrab / REvil]zwarte kant [BlackMatter / DarkSide]mazegreggor [Maze / Egregor]lockbit, enz., omdat we advertenties zijn (ook bekend als gelieerde ondernemingen),’ was de niet nader genoemde vertegenwoordiger geciteerd zoals gezegd. “We hebben hun voordelen geleend en hun nadelen geëlimineerd.”

“BlackCat lijkt een geval van verticale bedrijfsuitbreiding te zijn”, aldus Cisco Talos-onderzoekers Tiago Pereira en Caitlin Huey. “In wezen is het een manier om de stroomopwaartse toeleveringsketen te beheersen door een service die essentieel is voor hun bedrijf (de RaaS-operator) beter geschikt te maken voor hun behoeften en een nieuwe bron van inkomsten toe te voegen.”

Bovendien zei het cyberbeveiligingsbedrijf een aantal overeenkomsten te hebben waargenomen tussen een BlackMatter-aanval in september 2021 en die van een BlackCat-aanval in december 2021, waaronder de tools en de bestandsnamen die worden gebruikt, evenals een domein dat wordt gebruikt om blijvende toegang tot de doel netwerk.

Dit overlappende gebruik van hetzelfde command-and-control-adres heeft de mogelijkheid vergroot dat de partner die BlackMatter gebruikte waarschijnlijk een van de early adopters van BlackCat was, waarbij beide aanvallen meer dan 15 dagen nodig hadden om de versleutelingsfase te bereiken.

“Zoals we al vaker hebben gezien, komen en gaan RaaS-services. Hun gelieerde ondernemingen zullen echter waarschijnlijk gewoon overstappen op een nieuwe service. En met hen zullen veel van de TTP’s waarschijnlijk blijven bestaan”, aldus de onderzoekers.

De bevindingen komen op het moment dat BlackBerry een nieuwe op .NET gebaseerde ransomware-familie heeft beschreven, genaamd LokiLocker die niet alleen de bestanden versleutelt, maar ook een optionele wisfunctie bevat die is ontworpen om alle niet-systeembestanden te wissen en de master boot record (MBR) te overschrijven als een slachtoffer weigert te betalen binnen een gespecificeerd tijdsbestek.

“LokiLocker werkt als een ransomware-as-a-service-programma met beperkte toegang dat achter gesloten deuren lijkt te worden verkocht aan een relatief klein aantal zorgvuldig gecontroleerde filialen”, aldus de onderzoekers. Actief sinds ten minste augustus 2021, de meeste slachtoffers die tot nu toe zijn ontdekt, zijn geconcentreerd in Oost-Europa en Azië.

David
Rate author
Hackarizona