#Malware: BlackCat/ALPHV
- Antonio Capobianco
- Visite: 4434
#BlackCat, conosciuto anche come #ALPHV, è un #ransomware proposto in modalità as a service (#RaaS) con un #payload scritto in #RUST.
Il gruppo dietro questo #malware proveniente dall’Europa dell’Est, non attacca i paesi del CIS, agenzie governative, operatori della sanità, eccetto cliniche private, e istituzioni appartenenti al settore educativo. Si dichiarano assolutamente apolitici e non si sono schierati nel conflitto Russia Ucraina.
Apparso per la prima volta a novembre 2021, è presto diventato uno dei ransomware più temuti avendo mietuto vittime in Australia, India, Stati uniti e, ahimè, Italia con richieste di riscatto che sono arrivate sino a 14 milioni di dollari da pagarsi in #Bitcoin o #Monero.
Come ogni RaaS che si rispetti, gli utilizzatori prima di sferrare un attacco possono configurarlo con oltre 20 parametri differenti che rivelano però delle similitudini con altri ransomware come #BlackMatter e #DarkSide, quest’ultimo noto per l’attacco a #ColonialPipeline.
In un'intervista con Dmitry Smilyanet di Recorded Future, un membro della banda ha affermato che il loro gruppo è strettamente legato a #GranCrab/#Revil, #BlackMatter/#DarkSide e #Maze/#Egregor e che ha tratto vantaggi da queste esperienze eliminandone i difetti e mantenendone i pregi.
Ha dichiarato che il loro ransomware è il migliore e non considera #Conti e #LockBit alla loro altezza. Nell'intervista, ha anche menzionato di fornire servizi avanzati per i loro affiliati che hanno raggiunto almeno $1.5 milioni in riscatti, tra cui outsourcing per la comunicazione con le vittime, affitto di botnet per attacchi DDoS, affitto di potenza computazionale per decifrare le chiavi hash e storage onion distribuito per agevolare le trattative.
Una caratteristica di questo servizio RaaS è che fornisce agli affilianti un# payout che arriva sino al 90% del riscatto, generalmente si arriva al 70%. In pratica l’affiliato, una volta ricevuto il riscatto ne intasca il 90%, il restante 10% va alla banda criminale.
I metodi per accedere alle infrastrutture delle vittime varia, a seconda del gruppo criminale che lo utilizza e può andare dallo sfruttamento di vulnerabilità di Exchange, all’utilizzo di credenziali rubate.
BlackCat inoltre utilizza anche il conosciutissimo #Emotet per penetrare le infrastrutture delle vittime. In quei casi impiega anche #CobaltStrike, come payload di secondo livello, per il lateral movement.
A gennaio è assurto agli onori della cronica per aver pubblicato dati esfiltrati dalle proprie vittime, oltre che nel dark web, anche su siti accessibili nel clear web, naturalmente al fine di mettere maggiore pressione, inducendo il malcapitato al pagamento del riscatto.
È interessante notare che Trend Micro riporta che nel periodo 1° dicembre 2021, 30 Settembre 2022 il podio dei paesi più colpiti vede in testa gli Stati Uniti, secondo classificato il Canada, e terzi a pari merito Italia e Gran Bretagna. Sicuramente un podio del quale non bisogna vantarsi.
Una vittima illustre italiana è stata GSE, il nostro gestore dei servizi energetici.