Федеральное бюро расследований (ФБР) сообщает, что банда вымогателей Black Cat, также известная как ALPHV, взломала сети по меньшей мере 60 организаций по всему миру в период с ноября 2021 года по март 2022 года.
Киберподразделение ФБР сообщило об этом во флэш-предупреждении, выпущенном в среду в сотрудничестве с Агентством кибербезопасности и безопасности инфраструктуры (DHS/CISA).
Экстренное оповещение является частью серии аналогичных отчетов, в которых освещаются тактики, методы и процедуры (TTP), используемые, а также индикаторы компрометации (IOC), связанные с вариантами программ-вымогателей, выявленных в ходе расследований ФБР.
С начала года ФБР выпустило другие предупреждения, подчеркивающие, что банды вымогателей, включая BlackByte, Ragnar Locker и Avoslocker, нацелены на десятки критически важных инфраструктурных организаций США и уже взломали их.
BlackCat/ALPHV «является первой группой программ-вымогателей, которая успешно сделала это с помощью RUST, который считается более безопасным языком программирования, обеспечивающим повышенную производительность и надежную параллельную обработку», — говорится в сообщении ФБР.
Исполняемый файл программы-вымогателя BlackCat также обладает широкими возможностями настройки и поддерживает несколько методов и параметров шифрования, что упрощает адаптацию атак к широкому спектру корпоративных сред.
«Многие разработчики и отмыватели денег для BlackCat/ALPHV связаны с Darkside/Blackmatter, что указывает на то, что у них есть обширные сети и опыт работы с программами-вымогателями», — также добавили в ФБР.
Операция DarkSide RaaS была запущена в августе 2020 года и была закрыта в мае 2021 года после того, как правоохранительные органы предприняли усилия по ликвидации банды после широко разрекламированной атаки на Colonial Pipeline.
Хотя 31 июля они были переименованы в BlackMatter, вскоре они были вынуждены снова закрыться в ноябре 2021 года, после того как Emsisoft обнаружила и использовала уязвимость в программе-вымогателе для создания дешифратора, а серверы банды были захвачены.
Представитель банды вымогателей LockBit первым раскрыл ссылку BlackCat / BlackMatter через месяц после запуска вымогателя BlackCat в ноябре 2021 года.
Банда BlackCat также установила связь в интервью The Record, опубликованном несколько месяцев спустя, в феврале 2022 года, но не подтвердила фактический ребрендинг из BlackMatter.
Хотя BlackCat утверждает, что они всего лишь филиал DarkSide/BlackMatter, запустивший собственную операцию Ransomware-as-a-Service (RaaS), некоторые исследователи безопасности не верят в это, особенно после обнаружения сходства в функциях и файлах конфигурации.
