ABD Federal Soruşturma Bürosu (FBI), geçen Kasım ayında ortaya çıkmasından bu yana Mart 2022 itibariyle dünya çapında en az 60 kuruluşu mağdur ettiğini söylediği BlackCat hizmet olarak fidye yazılımı (RaaS) için alarm veriyor.
ALPHV olarak da adlandırılır ve noberusfidye yazılımı, bellek açısından güvenli olduğu bilinen ve gelişmiş performans sunan Rust programlama dilinde yazılmış ilk kötü amaçlı yazılım olmasıyla dikkat çekiyor.
FBI, “BlackCat/ALPHV geliştiricilerinin ve kara para aklayıcılarının çoğu DarkSide/BlackMatter ile bağlantılı, bu da onların geniş ağlara ve fidye yazılımı operasyonları konusunda deneyime sahip olduklarını gösteriyor” dedi. danışma geçen hafta yayınlandı.
Açıklama, Cisco Talos ve Kasperksy’den gelen ikiz raporların, daha önce yalnızca BlackMatter ile ilgili etkinliklerde gözlemlenen Fendr adlı bir veri sızdırma aracının değiştirilmiş bir sürümünün kullanımı da dahil olmak üzere BlackCat ve BlackMatter fidye yazılımı aileleri arasındaki bağlantıları ortaya çıkarmasından haftalar sonra geldi.
AT&T Alien Labs, “Rust’un sunduğu gelişen avantajların yanı sıra, saldırganlar, genellikle tüm programlama dillerine uyarlanmayan statik analiz araçlarından daha düşük bir algılama oranından da yararlanıyor.” işaret etti bu yılın başları.
Diğer RaaS grupları gibi, BlackCat’in çalışma biçimi, fidye yazılımının yürütülmesinden önce kurban verilerinin çalınmasını içerir ve kötü amaçlı yazılım, hedef sisteme ilk erişim sağlamak için genellikle güvenliği ihlal edilmiş kullanıcı kimlik bilgilerini kullanır.
Bir BlackCat fidye yazılımı olayında analiz edildi Forescout’un Vedere Labs tarafından, bir VMware ESXi sanal çiftliğine taşınmadan ve şifrelemeden önce, ağa ilk erişim sağlamak için internete açık bir SonicWall güvenlik duvarına girildi. Fidye yazılımı dağıtımının 17 Mart 2022’de gerçekleştiği söyleniyor.
Emniyet teşkilatı, kurbanlara fidye yazılım olaylarını derhal bildirmelerini tavsiye etmenin yanı sıra, şifreli dosyaların kurtarılmasına olanak sağlayacağının garantisi olmadığı için fidye ödemeyi teşvik etmediğini de söyledi. Ancak mağdurların hissedarları, çalışanları ve müşterileri korumak için bu tür taleplere kulak vermeye zorlanabileceğini kabul etti.
Öneri olarak FBI, kuruluşları yeni veya tanınmayan kullanıcı hesapları için etki alanı denetleyicilerini, sunucuları, iş istasyonlarını ve aktif dizinleri gözden geçirmeye, çevrimdışı yedeklemeler almaya, ağ segmentasyonu uygulamaya, yazılım güncellemelerini uygulamaya ve hesapları çok faktörlü kimlik doğrulama ile korumaya çağırıyor.