В теневом мире киберпреступности появилась новая изощренная и опасная угроза – шифровальщик BlackCat. В этой статье мы расскажем о механизме работы BlackCat и о стратегии защиты от этой угрозы.
Что такое Black Cat?
Впервые о группе Black Cat (ее также называют ALPHV или ALPHV-ng) стало известно в ноябре 2021 года, и с тех пор она стала одной из наиболее серьезных угроз в сфере кибервымогательства. Black Cat действует по схеме «программа-вымогатель как услуга» (Ransomware-as-a-Service, RaaS) и считается одной из наиболее технически сложных RaaS-угроз. Шифровальщик BlackCat необычен тем, что написан на языке программирования Rust и задействован в грозной стратегии «тройного вымогательства».
Как работает шифровальщик BlackCat?
Шифровальщик Black Cat – это вредоносное ПО, при разработке которого использовался необычный для такой задачи язык программирования Rust. Благодаря гибкости этого языка шифровальщик BlackCat способен атаковать устройства и возможные уязвимости самого разного типа, что позволяет использовать его в комбинации с более традиционными видами угроз. Особое коварство BlackCat заключается в отработанной схеме, которую используют злоумышленники: шифрование данных на компьютере жертвы, выкачивание их, а затем применение жесткой стратегии «тройного вымогательства». «Тройное вымогательство» заключается в том, что в случае неуплаты выкупа злоумышленники угрожают не только выложить похищенные данные в открытый доступ, но и подвергнуть систему жертвы DDoS-атаке.
Бизнес-модель BlackCat как оператора Ransomware-as-a-Service (RaaS) сводится к следующему: группировка предоставляет свой шифровальщик другим киберпреступникам для организации их собственных атак, позволяя им оставлять себе значительную долю прибыли, превосходящую стандартные для этого бизнеса 70%. Дополнительные преимущества BlackCat обеспечивают широкие возможности настройки шифровальщика, что позволяет даже неопытным вымогателям организовывать с его помощью комплексные атаки на корпоративные структуры. Сумма требуемого выкупа может достигать нескольких миллионов долларов США (в случае быстрой уплаты может быть предоставлена скидка). Однако организациям следует все взвесить, прежде чем принимать решение об уплате выкупа, поскольку по сути это становится финансированием криминальной активности без всякой гарантии восстановления файлов.
Как правило, за предоставление ключа дешифровки вымогатели требуют оплату в криптовалюте, например в биткойнах. Дополнительное давление на жертву оказывают появляющиеся на экране сообщения с инструкциями, как передать выкуп и получить ключ дешифровки.
Как распространяется шифровальщик BlackCat?
Первичным вектором атаки шифровальщика являются зараженные электронные письма и ссылки на вредоносные веб-сайты, с помощью которых ничего не подозревающих пользователей заманивают в ловушку. Проникнув на устройство, BlackCat чрезвычайно быстро распространяется по всей системе.
От других шифровальщиков BlackCat отличается тем, что он написан на языке программирования Rust. Этот язык отличается от других своими особыми характеристиками, в том числе скоростью, стабильностью, безопасной работой с памятью и способностью обходить стандартные методы обнаружения. Эти особенности сделали язык Rust мощным инструментом в руках киберпреступников. Примечательно, что адаптивность этого языка позволила создать версии BlackCat не только для Windows, но и для других платформ – например для Linux, которая обычно менее подвержена киберугрозам. Это стало настоящим вызовом для администраторов Linux, которые должны противостоять этой эволюционирующей угрозе.
За гибкость BlackCat отвечает конфигурационный файл JSON, который дает пользователям возможность выбирать из четырех различных алгоритмов шифрования, составлять разные тексты с требованием выкупа, устанавливать исключения для отдельных файлов, папок и расширений, определять, какие процессы и службы необходимо завершить, чтобы обеспечить беспрепятственный процесс шифрования. Более того, возможности настройки BlackCat включают и доменные учетные данные, что повышает способность шифровальщика переходить и на другие системы.
Группировка BlackCat рискнула выйти за пределы даркнета и создала сайт утечек в открытом сегменте интернета. Обычно киберпреступники используют подобные сайты в даркнете, чтобы доказать факт утечки данных и заставить жертву заплатить выкуп. Однако публичный сайт BlackCat поменял правила игры, открыв двери для более широкой аудитории, включая действующих и потенциальных клиентов, акционеров и журналистов.
Типичные жертвы шифровальщика BlackCat
Вымогатели, использующие шифровальщик BlackCat, предпочитают охотиться на крупного зверя и, как правило, выбирают в качестве жертв солидные организации, способные заплатить максимальный выкуп. По имеющимся данным, сумма запрашиваемого выкупа может значительно варьироваться в диапазоне от сотен тысяч до нескольких миллионов долларов в криптовалюте.
Точное количество пострадавших от шифровальщика неизвестно, однако на сайте группировки в сети Tor упоминаются более двадцати организаций, подвергшихся атаке, что заставляет воспринимать BlackCat как очень серьезную угрозу. Эти организации относятся к различным сферам бизнеса и находятся в разных странах, в том числе в Австралии, Великобритании, Германии, Италии, Испании, Нидерландах, Франции, США, на Багамах и Филиппинах. Затронут широкий круг отраслей: от бизнес-услуг, строительства и энергетики до индустрии моды, финансов, логистики, промышленного производства, фармацевтики, розничной торговли и технологического сектора.
Примеры атак с использованием шифровальщика BlackCat
Ноябрь 2023 года – Henry Schein
В ноябре 2023 года атаке шифровальщика BlackCat подверглась компания-дистрибьютор медицинского оборудования Henry Schein, входящая в список Fortune 500. Сообщалось, что банда вымогателей, известная как ALPHV, заявила о похищении 35 ТБ данных и вступила в переговоры с компанией Henry Schein. Сперва компании удалось получить ключ дешифровки и начать восстановление своих систем, однако затем переговоры были сорваны и вымогатели заново зашифровали все данные. Ситуация еще более осложнилась, когда злоумышленники начали угрожать публикацией внутренней информации компании. Однако впоследствии они удалили данные со своего веб-сайта, намекая на возможность договориться. Сама атака произошла за две недели до публикации данных в Сети и привела к временным нарушениям в работе компании Henry Schein. Руководство компании приняло все меры предосторожности, сообщило о случившемся в полицию и привлекло экспертов-криминалистов к расследованию инцидента.
Август 2023 года – корпорация Seiko Group
Корпорация Seiko Group подтвердила, что в августе 2023 года она подверглась атаке шифровальщика BlackCat, в результате чего в публичный доступ были выложены 60 тыс. записей. Похищенные данные включали информацию о клиентах корпорации, ее деловых партнерах, соискателях вакансий и действующих сотрудниках. Корпорация подчеркнула, что данные банковских карт остались в безопасности. После атаки Seiko внедрила целый ряд защитных мер, включая блокировку внешних коммуникаций для серверов компании, развертывание систем EDR и введение многофакторной аутентификации. Корпорация также подтвердила свое намерение привлечь экспертов по кибербезопасности, чтобы повысить уровень защиты и предотвратить подобные инциденты в будущем.
Как защититься от атаки шифровальщика BlackCat
Для защиты систем и данных от атаки шифровальщика BlackCat применяются те же меры, что и для борьбы с другими видами программ-вымогателей. Перечислим эти защитные меры.
Обучение персонала
Обучение персонала для противодействия шифровальщику BlackCat и другим вредоносным угрозам включает несколько ключевых моментов.
- Сотрудники должны научиться распознавать фишинговые электронные письма, поскольку это типичное средство распространения программ-вымогателей.
- Фишинговые письма часто маскируются под письма от солидных организаций, таких как банки или транспортные компании. В них могут содержаться вредоносные вложения или ссылки, посредством которых загружается программа-шифровальщик.
- Необходимо с осторожностью относиться к электронным письмам из неизвестных источников и избегать нежелательных загрузок.
- Сотрудники должны своевременно обновлять ПО и антивирусные программы и оповещать специалистов IT-отдела или службы безопасности о любой подозрительной активности.
- Регулярное проведение тренингов по кибербезопасности обеспечивает информированность сотрудников о новейших видах программ-вымогателей и способах защиты от них. Это позволяет снизить риск инцидентов с участием шифровальщика BlackCat и других угроз кибербезопасности.
Шифрование данных и контроль доступа
Защита конфиденциальной информации – это главная стратегия борьбы с шифровальщиком BlackCat и ему подобными угрозами. Если в компании используется шифрование данных и контроль доступа, это значительно снижает риск заражения шифровальщиком BlackCat и уменьшает потенциальный ущерб в случае успешной атаки.
- Шифрование означает, что данные переводятся в код, который практически невозможно расшифровать без соответствующего ключа дешифровки.
- Таким образом данные остаются в безопасности, даже если шифровальщик проник в систему и получил доступ к зашифрованной информации.
- Критически значимая информация, такая как финансовые записи, персональные данные и важные деловые документы, должна храниться только в зашифрованном виде.
- Для этого можно использовать такие инструменты, как BitLocker для Windows, FileVault для Mac или другое ПО для шифрования данных.
- Не менее важно организовать контроль доступа при помощи аутентификации и авторизации пользователей в зависимости от их должностных обязанностей, а также ввести строгие требования к паролям.
- Даже если злоумышленник получает доступ к зашифрованным данным, он не может расшифровать их без специального ключа, который необходимо хранить в надежном месте отдельно от зашифрованных данных.
Резервное копирование данных
Регулярное создание резервных копий – одна из самых эффективных защитных мер против шифровальщика BlackCat и ему подобного вредоносного ПО.
- Необходимо создавать копии важных документов и хранить их отдельно, например на внешнем жестком диске, в облачном хранилище или на отдельном компьютере.
- В случае атаки шифровальщика BlackCat зараженные файлы можно будет удалить, а затем восстановить их из резервной копии, что позволит не платить выкуп злоумышленникам и предотвратит риск безвозвратной утраты данных.
- Важно! Чтобы данные оставались в безопасности, резервные копии должны храниться в отдельном месте, изолированном от основного компьютера и корпоративной сети. Мы рекомендуем хранить данные на изолированном физическом носителе или в надежном облачном хранилище, где используются эффективные протоколы безопасности и шифрования.
Обновление программного обеспечения
Регулярное обновление ПО защищает от атак шифровальщика BlackCat и ему подобных вредоносных программ.
- Обновления часто содержат патчи безопасности для закрытия уязвимостей, которыми может воспользоваться шифровальщик. Разработчики ПО выпускают обновления по мере обнаружения таких уязвимостей, чтобы предотвратить атаки злоумышленников.
- Эти обновления включают в себя патчи безопасности, устранение ошибок и новые функции. Если пренебречь установкой этих обновлений, системы могут стать уязвимыми для атак.
- Злоумышленники часто выбирают целью для атаки устаревшее ПО, в том числе операционные системы, веб-браузеры и плагины. Регулярное обновление ПО повышает безопасность и затрудняет хакерам эксплуатацию уязвимостей.
- Использование программ автоматизированного управления установкой обновлений делает этот процесс еще более легким. Такие программы обеспечивают автоматическую загрузку обновлений, планируют их установку в нерабочие часы и генерируют подробные отчеты о статусе обновлений системы. Регулярное обновление программ в сочетании с автоматизированным управлением установкой обновлений снижает риск заражения шифровальщиком BlackCat и другим вредоносным ПО.
Используйте инструменты киберзащиты
Перечисленные выше меры безопасности могут существенно улучшить вашу защиту от шифровальщика BlackCat. Но необходимо дополнительно подкрепить эти меры с помощью специального защитного ПО. Вот несколько примеров такого ПО.
- Kaspersky Premium предлагает комплексную защиту от целого спектра киберугроз, в том числе и от программ-вымогателей. Это решение позволяет обнаруживать угрозы в режиме реального времени, включает в себя усовершенствованный файервол и поддерживает автоматическую установку обновлений для непрерывной защиты.
- Kaspersky VPN повышает вашу онлайн-безопасность, зашифровывая интернет-соединение и пропуская его через безопасные серверы. Это делает продукт идеальным решением для защиты ваших данных, особенно во время работы в общедоступных сетях Wi-Fi.
- Для дополнительной защиты от вымогателей установите менеджер паролей Kaspersky Password Manager , который способен генерировать и надежно хранить уникальные сложные пароли для ваших онлайн-аккаунтов, снижая риск их взлома путем подбора простых или часто используемых паролей.
И в заключение заметим: ландшафт угроз продолжает стремительно меняться, поэтому так важно сочетать надежные меры кибербезопасности с использованием современных защитных инструментов. Только всесторонний подход к кибербезопасности, в том числе обучение персонала, шифрование данных, установка контроля доступа, регулярное резервное копирование, обновление ПО и использование защитных продуктов, позволит максимально укрепить вашу онлайн-безопасность и защититься от шифровальщика BlackCat и других киберугроз.
Часто задаваемые вопросы о шифровальщике BlackCat
Что такое BlackCat?
Группа BlackCat, которую также называют ALPHV или ALPHV-ng, появилась в ноябре 2021 года и с тех пор стала одной из наиболее серьезных угроз в сфере кибервымогательства. BlackCat действует по модели «программа-вымогатель как услуга» (Ransomware-as-a-Service, RaaS). Причем сегодня атака BlackCat считается одной из наиболее технически сложных RaaS-угроз. Программа-шифровальщик BlackCat известна тем, что написана на языке программирования Rust и задействована в грозной схеме «тройного вымогательства».
Примеры пострадавших от шифровальщика BlackCat
Атаки шифровальщика BlackCat обычно нацелены на крупные организации, способные заплатить значительную сумму выкупа. Требования злоумышленников могут варьироваться в диапазоне от сотен тысяч до нескольких миллионов долларов в кибервалюте. На сайте утечек, которую группировка BlackCat создала в сети Tor, упоминаются более двадцати организаций из разных стран мира, ставших жертвами атак. Были затронуты такие сферы экономики как бизнес-услуги, строительство, энергетика, индустрия моды, финансы, логистика, промышленное производство, фармацевтика, розничная торговля и технологический сектор.
Рекомендуемые продукты:
- Kaspersky Premium
- Kaspersky Secure Connection
- Kaspersky Менеджер паролей
- Бесплатная пробная версия Kaspersky Premium на 30 дней
Статьи по теме:
