L’FBI avverte che il ransomware BlackCat ha violato oltre 60 organizzazioni in tutto il mondo
Il Federal Bureau of Investigation (FBI) degli Stati Uniti sta lanciando un allarme dedicato in particolar modo al ransomware-as-a-service (RaaS) BlackCat, che ha affermato di aver violato in soli 4 mesi, da novembre 2021 a marzo 2022, ben più di 60 organizzazioni.
Chiamato anche ALPHV e Noberus , il malware è noto per essere il primo ransomware scritto nel linguaggio di programmazione Rust e noto per essere sicuro nella memoria e offrire prestazioni migliorate.
“Molti sviluppatori di BlackCat/ALPHV sono collegati a DarkSide/BlackMatter, il che indica che hanno reti estese ed esperienza con operazioni di ransomware”, ha affermato l’FBI in un avviso pubblicato la scorsa settimana.
La divulgazione arriva a poche settimane dalla scoperta di collegamenti tra il ransomware BlackCat e BlackMatter, incluso l’uso di una versione modificata di uno strumento di esfiltrazione dei dati soprannominato Fendr che in precedenza era stato osservato solo nell’attività relativa a BlackMatter.
“Oltre ai vantaggi in via di sviluppo offerti da Rust, gli aggressori traggono vantaggio anche da un rilevamento inferiore dagli strumenti di analisi statica, che di solito non sono adattati a tutti i linguaggi di programmazione”, ha sottolineato AT&T Alien Labs all’inizio di quest’anno.
Il funzionamento del ransomware BlackCat
Come altri gruppi RaaS, il modus operandi di BlackCat prevede il furto dei dati delle vittime prima dell’esecuzione del ransomware, con il malware che spesso sfrutta le credenziali dell’utente compromesse per ottenere l’accesso iniziale al sistema di destinazione.
In un incidente analizzato da Vedere Labs di Forescout, un’appliance SonicWall SRA senza patch e fuori uso è stata violata per ottenere l’accesso iniziale alla rete, prima di passare e crittografare una macchina VMware ESXi. Si dice che la distribuzione del ransomware sia avvenuta il 17 marzo 2022.
Le forze dell’ordine, oltre a raccomandare alle vittime di segnalare tempestivamente gli incidenti ransomware, hanno anche affermato di non incoraggiare il pagamento di riscatti in quanto non vi è alcuna garanzia che ciò consentirà il recupero di file crittografati. Ma ha riconosciuto che le vittime potrebbero essere costrette a prestare attenzione a tali richieste per proteggere azionisti, dipendenti e clienti.
Come raccomandazione, l’FBI sta esortando le organizzazioni a rivedere domain controller, server, workstation e directory attive per account utente nuovi o non riconosciuti, eseguire backup offline, implementare la segmentazione della rete, applicare aggiornamenti software e proteggere gli account con l’autenticazione a più fattori.
Blue Team Inside, si occupa di sicurezza informatica da più di 5 anni, con un occhio di riguardo alla difesa.
Una Padawan Etichal pronta a difendere l’anello più debole della catena…
Attenzione a non sottovalutarla, se finite vittima di una sua campagna di Spear Phishing non potrete scampare.
Tre caratteristiche che la distinguono:
La precisione
Sempre alla ricerca di imparare cose nuove
La sua auto…comprensiva di antenna
Colore preferito? Verde, ovviamente!