Un nuovo giocatore ransomware-as-a-service è stato rilevato da Recorded Future e MalwareHunterTeam su due forum sotterranei. Conosciuto come ALPVH e BlackCat, il gruppo ransomware è il primo ad usare Rust, Il record ha riferito. Questo è il terzo ceppo di ransomware ad essere codificato in Rust, con gli altri due sperimentali.
Gatto nero (ALPVH) Ransomware-as-a-Service
BlackCat è già stato utilizzato in attacchi reali, con circa aziende nella sua lista delle vittime. Sembra che il ransomware sia stato sviluppato e distribuito da un gruppo di criminali informatici professionisti, i ricercatori hanno detto. Recorded Future ha anche affermato che l'autore di BlackCat era stato precedentemente coinvolto in la banda Revil.
Gatto nero (ALPVH) ha seguito il modello di REvil, ed è ora pubblicizzato come ransomware-as-a-service su due popolari forum sotterranei: XSS e Exploit. Potenziali acquirenti (“affiliati”) sono invitati a unirsi alla famiglia ransomware di BlackCat negli attacchi contro le grandi aziende.
Quali caratteristiche ha BlackCat Ransomware?
Le funzionalità pubblicizzate includono la capacità di crittografare i dati su Windows, Linux, e sistemi VMWare eSXI. Il RaaS promette anche agli affiliati di guadagnare tra 80% e 90% del riscatto pagato, secondo la somma pagata dalle vittime. Finora sono state identificate solo un piccolo numero di vittime, MalwareHunterTeam ha detto.
Si conosce anche il vettore iniziale degli attacchi. Tuttavia, i ricercatori sono stati in grado di determinare che gli operatori del ransomware individuano e rubano file sensibili dai sistemi violati, e quindi procedere con la crittografia dei file dei sistemi locali. Non sorprende, la doppia estorsione fa parte anche degli attacchi contro le grandi aziende, poiché BlackCat minaccia di rilasciare i dati sensibili sui siti di perdite in cui opera.
Michael Gillespie ha già detto che BlackCat è molto sofisticato in un tweet che ha condiviso di recente:
Ne ho analizzato un altro non molto tempo fa, ma non potevo parlarne a causa della riservatezza del cliente… utilizza AES128-CTR e RSA-2048, è sicuro. Filemarker 19 47 B7 4D a EOF e prima della chiave crittografata, che è JSON con alcune impostazioni. Ransomware molto sofisticato.
Altri gruppi criminali, come BuerLoader e FickerStealer, stanno anche passando al linguaggio di programmazione Rust che è considerato più sicuro di C e C++.
Correlata: 4 Gruppi emergenti di ransomware-as-a-Service