Het Amerikaanse Federal Bureau of Investigation (FBI) luidt de noodklok over de BlackCat ransomware-as-a-service (RaaS), waarvan het zei dat het sinds maart 2022 wereldwijd het slachtoffer is geworden van ten minste 60 entiteiten sinds de opkomst in november.
Ook wel ALPHV genoemd en Noberusvalt de ransomware op omdat het de allereerste malware is die is geschreven in de Rust-programmeertaal waarvan bekend is dat deze geheugenveilig is en betere prestaties biedt.
“Veel van de ontwikkelaars en witwassers van BlackCat/ALPHV zijn gelinkt aan DarkSide/BlackMatter, wat aangeeft dat ze uitgebreide netwerken hebben en ervaring hebben met ransomware-operaties”, zei de FBI in een persbericht. adviserend vorige week gepubliceerd.
De onthulling komt weken nadat twee rapporten van Cisco Talos en Kasperksy verbanden tussen BlackCat en BlackMatter ransomware-families aan het licht brachten, inclusief het gebruik van een aangepaste versie van een data-exfiltratie-tool genaamd Fendr die voorheen alleen werd waargenomen bij BlackMatter-gerelateerde activiteiten.
“Afgezien van de zich ontwikkelende voordelen die Rust biedt, profiteren de aanvallers ook van een lagere detectieratio van statische analysetools, die meestal niet zijn aangepast aan alle programmeertalen”, AT&T Alien Labs wees erop eerder dit jaar.
Net als andere RaaS-groepen omvat de modus operandi van BlackCat de diefstal van slachtoffergegevens voorafgaand aan de uitvoering van de ransomware, waarbij de malware vaak gebruikmaakt van gecompromitteerde gebruikersreferenties om de eerste toegang tot het doelsysteem te krijgen.
Bij een BlackCat ransomware-incident geanalyseerd door Vedere Labs van Forescout, werd een internet-blootgestelde SonicWall-firewall gepenetreerd om de eerste toegang tot het netwerk te krijgen, voordat hij naar een virtuele VMware ESXi-farm ging en deze versleutelde. De ransomware-implementatie zou hebben plaatsgevonden op 17 maart 2022.
De wetshandhavingsinstantie raadt slachtoffers niet alleen aan om ransomware-incidenten onmiddellijk te melden, maar zei ook dat het het betalen van losgeld niet aanmoedigt, omdat er geen garantie is dat dit het herstel van versleutelde bestanden mogelijk maakt. Maar het erkende wel dat slachtoffers mogelijk worden gedwongen gehoor te geven aan dergelijke eisen om aandeelhouders, werknemers en klanten te beschermen.
Als aanbeveling dringt de FBI er bij organisaties op aan om domeincontrollers, servers, werkstations en actieve mappen te controleren op nieuwe of niet-herkende gebruikersaccounts, offline back-ups te maken, netwerksegmentatie te implementeren, software-updates toe te passen en accounts te beveiligen met meervoudige verificatie.
