İki fidye yazılımı saldırısının analizi, tanımlanan örtüşmeler BlackCat ve BlackMatter arasındaki taktikler, teknikler ve prosedürler (TTP’ler), iki grup arasında güçlü bir bağlantı olduğunu gösterir.
Fidye yazılımı gruplarının saldırılarına yönelik artan görünürlüğe yanıt olarak operasyonlarını yeniden markalamaları tipik olsa da, BlackCat (aka Alphv), siber suç kartelinin diğer bir hizmet olarak fidye yazılımının (RaaS) bağlı kuruluşlarından oluşmasıyla yeni bir sınır oluşturuyor. ) operasyonlar.
BlackCat ilk olarak Kasım 2021’de ortaya çıktı ve o zamandan beri son birkaç ay içinde dünya çapında birçok kuruluşu hedef aldı. Mayıs 2021’de Colonial Pipeline’a yaptığı yüksek profilli saldırıyla ün kazanan DarkSide kaynaklı kısa ömürlü bir fidye yazılımı ailesi olan BlackMatter’a benzediği için çağrıldı.
Geçen ay Recorded Future’s The Record ile yaptığı röportajda, bir BlackCat temsilcisi, bunun BlackMatter’ın yeniden markalaşması olduğu yönündeki söylentileri yalanlarken, diğer RaaS gruplarıyla ilişkili bağlı kuruluşlardan oluştuğunu belirtti.
“Kısmen hepimiz Gandrevil’e bağlıyız. [GandCrab / REvil]kara taraf [BlackMatter / DarkSide]labirent [Maze / Egregor]lockbit, vb., çünkü biz reklamız (aka bağlı kuruluşlar),” isimsiz temsilci alıntı dediği gibi. Avantajlarını ödünç aldık ve dezavantajlarını ortadan kaldırdık.
Cisco Talos araştırmacıları Tiago Pereira ve Caitlin Huey, “BlackCat bir dikey iş genişletme vakası gibi görünüyor” dedi. “Özünde, işlerinin anahtarı olan bir hizmeti (RaaS operatörü) ihtiyaçlarına daha uygun hale getirerek ve başka bir gelir kaynağı ekleyerek yukarı yönlü tedarik zincirini kontrol etmenin bir yolu.”
Dahası, siber güvenlik firması, Eylül 2021’deki bir BlackMatter saldırısı ile Aralık 2021’deki bir BlackCat saldırısı arasında, kullanılan araçlar ve dosya adlarının yanı sıra sürekli erişimi sürdürmek için kullanılan bir alan da dahil olmak üzere bir dizi ortak nokta gözlemlediğini söyledi. hedef ağ.
Aynı komuta ve kontrol adresinin bu örtüşen kullanımı, BlackMatter’ı kullanan bağlı kuruluşun muhtemelen BlackCat’i ilk benimseyenlerden biri olma olasılığını artırdı ve her iki saldırının da şifreleme aşamasına ulaşması 15 günden fazla sürdü.
Araştırmacılar, “Daha önce birkaç kez gördüğümüz gibi, RaaS hizmetleri gelir ve gider. Bununla birlikte, bağlı kuruluşlarının basitçe yeni bir hizmete geçmesi muhtemeldir. Ve onlarla birlikte, TTP’lerin çoğu muhtemelen devam edecek” dedi.
Bulgular, BlackBerry adlı yeni bir .NET tabanlı fidye yazılımı ailesini detaylandırdığında geldi. LokiLocker bu yalnızca dosyaları şifrelemekle kalmaz, aynı zamanda sistem dışı tüm dosyaları silmek ve kurbanın belirli bir zaman dilimi içinde ödemeyi reddetmesi durumunda ana önyükleme kaydının (MBR) üzerine yazmak için tasarlanmış isteğe bağlı bir silme işlevi içerir.
Araştırmacılar, “LokiLocker, kapalı kapılar ardında nispeten az sayıda dikkatle incelenmiş bağlı kuruluşa satıldığı görünen, sınırlı erişimli bir hizmet olarak fidye yazılımı planı olarak çalışıyor.” Dedi. En az Ağustos 2021’den beri aktif olan, şimdiye kadar tespit edilen kurbanların çoğu Doğu Avrupa ve Asya’da yoğunlaşıyor.
