BlackCat (Ransomware)

  B

Ransomware je typ škodlivého softwaru (malware), který šifruje soubory na postiženém systému a vyžaduje výkupné za jejich obnovení. V posledních letech se ransomware stal jedním z největších bezpečnostních hrozeb pro individuální uživatele, korporace i vládní organizace. Jednou z nejpokročilejších a nejnebezpečnějších variant ransomwaru je BlackCat, známý také pod názvem ALPHV.

Historie a vývoj BlackCat

Historie a vývoj ransomwaru BlackCat začíná v polovině listopadu 2021, kdy byl tento typ ransomwaru poprvé identifikován výzkumníky z MalwareHunterTeam. BlackCat se rychle proslavil díky svému průkopnickému využití programovacího jazyka Rust, což mu umožňuje snadněji se přizpůsobovat různým operačním systémům, jako jsou Windows a Linux, a tím rozšiřovat rozsah možných cílů napadení.

Jednou z klíčových vlastností BlackCat je jeho schopnost provádět tzv. triple extortion (trojitý výpalné), což znamená, že kromě šifrování dat a vyžadování výkupného za jejich odblokování, útočníci také hrozí zveřejněním ukradených dat a dokonce mohou zahájit útoky typu DDoS (Distributed Denial of Service) proti infrastruktuře obětí, čímž je nucí zaplatit výkupné.

Z hlediska technických detailů BlackCat využívá různé metody k získání přístupu do sítí obětí, včetně zneužití kompromitovaných uživatelských přihlašovacích údajů, dále pak kompromitace uživatelských a administrátorských účtů v Active Directory. Po získání přístupu BlackCat deaktivuje bezpečnostní prvky v síti oběti, aby mohl před spuštěním šifrování dat exfiltrovat informace.

Co odlišuje BlackCat od jiných ransomwarů, je jeho možný rebranding z DarkSide, což je důležité pro pochopení, jak se skupina snaží udržet pod radarom a vyhnout se zvýšené pozornosti, která by mohla vést k jejich odhalení a zásahu ze strany bezpečnostních složek. Tento rebranding naznačuje, že operátoři BlackCatu mají zkušenosti s úspěšnými útoky na velké podnikové sítě a jsou si vědomi potřeby selektivně si vybírat své cíle.

V kontextu RaaS (Ransomware-as-a-Service) modelu, BlackCat nabízí svým afiliátům významně vyšší podíl na zisku, což je až 80-90% z vyplaceného výkupného, což je výrazně více než u většiny jiných RaaS operací. Tento model přitahuje více afiliátů a posiluje postavení BlackCatu na trhu s ransomwarem.

Vzhledem k sofistikovanosti a neortodoxním metodám BlackCat je důležité, aby organizace byly obeznámeny s taktikami, technikami a postupy, které skupina BlackCat používá, a aby přijaly odpovídající opatření k ochraně svých sítí a dat​

Technická analýza

BlackCat funguje typicky tím, že infikuje systémy prostřednictvím phishingových kampaní, zneužívání slabých hesel nebo nezabezpečených veřejných služeb. Po infekci ransomware šifruje soubory na hostitelském systému použitím silných šifrovacích algoritmů, jako je AES-256 spolu s RSA-4096 pro šifrování klíčů, což zajišťuje, že oběti nemohou svá data obnovit bez unikátního klíče drženého útočníkem.

Další příklady útoků ransomwaru BlackCat zahrnují různé metody a taktiky používané útočníky k pronikání do sítí a šíření ransomwaru. Například, útočníci často využívali vzdálený přístup přes RDP (Remote Desktop Protocol) a prováděli hrubou sílu útoků přes VPN připojení k získání přístupu k administrátorským účtům na strojích uvnitř sítě. K šíření ransomwaru mezi počítači s Windows i cílení na servery VMware ESXi hypervizoru byly použity specifické funkce ransomwaru.

Útočníci si také instalovali různé nástroje pro vzdálený přístup, jako jsou komerční nástroje AnyDesk a TeamViewer, a další nástroje jako ngrok, aby si zajistili alternativní metody vzdáleného připojení k cílovým sítím. Používali také PowerShell příkazy k stahování a spouštění beaconů Cobalt Strike na některých strojích a nástroj Brute Ratel, což je novější sada nástrojů pro penetrační testování s funkcemi podobnými Cobalt Strike.

Analýza ransomwaru je komplikovaná také tím, že některé cílené organizace již dříve byly kompromitovány prostřednictvím zranitelnosti Log4j, na některých serverech byly nalezeny různé cryptominery a další obtěžující malware, který nebyl přímo spojen s ransomwarem.

Jedna z případových studií od Palo Alto Networks popisuje situaci, kdy bylo celé prostředí klienta uzamčeno a všechna životaschopná zálohování byla zašifrována. Když si klient poprvé všiml neautorizovaného softwaru běžícího na jednom ze svých serverů, což vypadalo velmi podezřele, uvědomil si, že má vážný problém a obrátil se na Unit 42.

Dopad a škody

Ekonomický dopad BlackCat ransomwaru je obrovský. Útočníci obvykle požadují výkupné v kryptoměnách, což ztěžuje sledování plateb a identifikaci pachatelů. Sumy požadované jako výkupné se mohou pohybovat od několika tisíc do milionů dolarů, v závislosti na velikosti a finančním zdraví oběti. Kromě finančních ztrát jsou dopady také psychologické a reputační, což může vést k dlouhodobým negativním důsledkům pro postižené organizace.

Obrana a prevence

Obrana proti ransomwaru jako je BlackCat vyžaduje komplexní bezpečnostní strategii. Základem je pravidelné zálohování dat a jejich uchovávání na oddělených systémech, aby bylo možné data obnovit bez placení výkupného. Dalšími klíčovými kroky jsou silná hesla, využívání vícefaktorové autentizace, pravidelné aktualizace softwaru a hardwaru, školení zaměstnanců v oblasti bezpečnostního povědomí a implementace přísných pravidel pro přístup k síti a datům.

Několik útoků ransomware BlackCat

Ransomware BlackCat byl odpovědný za několik významných útoků v různých sektorech, což ukazuje na schopnost této skupiny způsobit značné narušení a finanční požadavky. Například v lednu 2022 se dvě německé ropné společnosti staly obětí útoku ransomwaru, který ovlivnil 233 čerpacích stanic po celém Německu a vedl k vážným provozním narušením. Tento útok zdůraznil schopnost skupiny zaměřit se na kritickou infrastrukturu a způsobit rozsáhlé dopady.

MS-ISAC

Mezi úspěšné útoky ransomwaru BlackCat patří incident, který postihl organizaci člena Multi-State Information Sharing and Analysis Center (MS-ISAC).

Útok začal, když zaměstnanec oznámil, že jeho účet byl uzamčen a nemohl přistupovat k svému e-mailu. Následně bylo zjištěno, že neznámý kybernetický útočník ovládal několik počítačů na dálku. Po příjezdu do kanceláře bylo odhaleno několik šifrovaných souborů a zjištění, že ransomware se pokoušel znovu infikovat a šířit se v síti, přičemž byly vymazány zálohy organizace.

I přes tato opatření se organizaci podařilo obnovit doménové řadiče a několik serverů, ale nebylo možné obnovit další data. Interní vyšetřování ukázalo, že za útokem pravděpodobně stojí skupina BlackCat

Delta Medix

Dalším úspěšným útokem bylo napadení Lehigh Valley Health Network, které zahrnovalo lékařskou praxi Delta Medix v Lackawanna County. Neoprávněná aktivita byla zjištěna 6. února 2023 a zahrnovala počítačový systém používaný pro obrazové záznamy pacientů pro léčbu radioterapií a další citlivé informace.

Síť zdravotní péče oznámila, že odmítla zaplatit výkupné, ačkoli výše požadované částky nebyla zveřejněna. BlackCat je znám tím, že v minulých kybernetických útocích na zdravotnický sektor požadoval výkupné až do výše 1,5 milionu dolarů.

Dish Network

V USA se síť Dish Network stala obětí útoku ransomwaru v únoru 2023, což mělo za následek výpadky sítě a ovlivnění dat více než 290 000 jednotlivců, převážně zaměstnanců. Společnost uznala, že zaplatila výkupné, aby získala potvrzení, že extrahovaná data byla smazána, což zdůrazňuje obtížná rozhodnutí, před kterými organizace stojí při řešení požadavků na výkupné.

Western Digital

Western Digital také zažil útok ransomwaru v dubnu 2023, který vedl ke krádeži dat a narušení podnikání, které ovlivnilo přístup zákazníků k několika službám. BlackCat převzal odpovědnost za tento útok tím, že na svém veřejném webu s únikem dat zveřejnil údajně ukradená data, včetně záznamu z video konference společnosti. Tento incident zdůrazňuje agresivní taktiku vydírání skupiny a výzvy, kterým čelí společnosti při ochraně citlivých informací.

Tyto příklady ilustrují rozmanité taktiky používané BlackCat, včetně využití kompromitovaných přihlašovacích údajů, sofistikovaného malware napsaného v Rustu pro rychlé a multiplatformní šifrování a kombinace metod vydírání, aby se maximalizoval tlak na oběti. Organizacím se doporučuje přijmout komplexní kybernetické bezpečnostní opatření, včetně vzdělávání zaměstnanců, šifrování dat, pravidelných záloh dat, okamžitého instalování softwarových aktualizací a silných hesel, aby se minimalizovalo riziko útoků ransomwarem.

Budoucnost ransomwaru a BlackCat

Budoucnost ransomwaru a konkrétně BlackCat ransomwaru naznačuje další evoluci a sofistikovanost v této oblasti kybernetické kriminality. Jak ransomwarové útoky pokračují ve svém vývoji, můžeme očekávat, že se budou objevovat nové metody útoků, cílení a vydírání.

  1. Pokročilé techniky útoků: Ransomwarové skupiny jako BlackCat pravděpodobně dále rozvinou své techniky pro zvyšování účinnosti útoků. To může zahrnovat vylepšené metody pro obcházení bezpečnostních opatření, využívání sofistikovanějšího malware a větší zaměření na platformy, které dosud nebyly hlavním cílem útoků, jako jsou mobilní zařízení a internet věcí (IoT).
  2. Rozvoj Ransomware-as-a-Service (RaaS): Model RaaS, který umožňuje cyberkriminálníkům využívat ransomwarové nástroje poskytované jinými zločinci, pravděpodobně dále poroste. To znamená, že i méně zkušení útočníci budou moci provádět sofistikované útoky, což zvýší celkovou hrozbu ransomwaru.
  3. Dvojí a trojí vydírání: Jak ukázaly nedávné útoky, taktika dvojího a trojího vydírání, kdy útočníci nejenže šifrují data, ale také vyhrožují jejich zveřejněním nebo zahájením DDoS útoků, se stává stále běžnější. Tento trend pravděpodobně pokračuje a rozšíří se, což přináší další vrstvu komplikací pro oběti.
  4. Zaměření na kritickou infrastrukturu a velké korporace: Ransomwarové skupiny se mohou více soustředit na velké korporace a kritickou infrastrukturu, jako jsou zdravotnická zařízení, energetické společnosti a vládní organizace, kde může být dopad útoku značný a pravděpodobnost zaplacení výkupného vyšší.
  5. Zvýšené úsilí o obranu a regulaci: V reakci na rostoucí hrozbu ransomwaru se pravděpodobně zintenzivní úsilí o vývoj pokročilých obranných technologií, vzdělávání zaměstnanců a implementaci přísnějších regulací a standardů pro kybernetickou bezpečnost.

Vzhledem k těmto trendům je zásadní, aby organizace pokračovaly ve vývoji svých bezpečnostních strategií, aby byly schopny čelit rostoucí a neustále se vyvíjející hrozbě ransomwaru. To zahrnuje pravidelné školení zaměstnanců, zálohování dat, používání silného šifrování a autentizace, aktualizace a opravy softwaru a hardware a spolupráci s bezpečnostními odborníky a institucemi pro sdílení informací o hrozbách a nejlepších postupech.

Napiš komentář