Grupa ransomware BlackCat, znana również jako ALPHV, twierdzi, że włamała się do systemów Namco Bandai, japońskiego wydawcy gier wideo, który stoi za tytułami AAA, takimi jak Elden Ring i Dark Souls.
Wiadomości zostały również po raz pierwszy zgłoszone przez Vx-underground, a później przez dwie grupy monitorujące złośliwe oprogramowanie (otwiera się w nowej karcie). BlackCat jest jednym z najpopularniejszych szczepów oprogramowania ransomware na świecie i przyciągnął nawet uwagę Federalnego Biura Śledczego (FBI).
Jednak Namco Bandai obecnie milczy w tej sprawie, co utrudnia potwierdzenie autentyczności tych twierdzeń.
Na celowniku FBI
W kwietniu 2022 roku FBI wydało ostrzeżenie, że „nowy, zjadliwy” szczep oprogramowania ransomware firmy BlackCat zainfekował co najmniej 60 różnych organizacji w ciągu dwóch miesięcy. W tamtym czasie FBI opisało BlackCat jako „ransomware-as-a-service” i twierdziło, że jego złośliwe oprogramowanie zostało napisane w Rust.
Podczas gdy większość odmian ransomware jest napisana w C lub C++, FBI twierdzi, że Rust jest „bezpieczniejszym językiem programowania, który oferuje lepszą wydajność i niezawodne przetwarzanie współbieżne”.
Według FBI BlackCat zazwyczaj wymaga płatności w Bitcoinach i Monero w zamian za klucz odszyfrowywania, a chociaż żądania są zazwyczaj „liczone w milionach”, według FBI często akceptował płatności mniejsze niż pierwotna prośba.
Grupa najwyraźniej ma silne powiązania z Darkside i ma „rozległe sieci i doświadczenie” w wykorzystywaniu ataków złośliwego oprogramowania i ransomware (otwiera się w nowej karcie).
Po uzyskaniu wstępnego dostępu do docelowych punktów końcowych grupa przystąpi do przejęcia kont użytkowników i administratorów usługi Active Directory oraz użyje Harmonogramu zadań systemu Windows do skonfigurowania złośliwych obiektów zasad grupy (GPO) w celu wdrożenia oprogramowania ransomware.
Początkowe wdrożenie wykorzystuje skrypty PowerShell wraz z Cobalt Strike i wyłącza funkcje bezpieczeństwa w sieci ofiary.
Po pobraniu i zablokowaniu jak największej ilości danych grupa będzie starała się wdrożyć ransomware na dodatkowych hostach.
FBI zaleca skanowanie kontrolerów domen, serwerów, stacji roboczych i aktywnych katalogów w poszukiwaniu nowych lub nierozpoznanych kont użytkowników; regularnie tworzyć kopie zapasowe danych, skanować harmonogram zadań w poszukiwaniu nierozpoznanych zaplanowanych zadań i wymagać poświadczeń administratora dla każdego procesu instalacji oprogramowania, takiego jak środki zaradcze.
BlackCat dołączył niedawno do zdecentralizowanej sieci złośliwych aktorów Conti i wielokrotnie z powodzeniem włamał się do serwerów Microsoft Exchange, aby wdrożyć oprogramowanie ransomware.
Przez: PCGamer (otwiera się w nowej karcie)