#Malware: BlackCat/ALPHV

#BlackCat, conosciuto anche come #ALPHV, è un #ransomware proposto in modalità as a service (#RaaS) con un #payload scritto in #RUST.

Il gruppo dietro questo #malware proveniente dall’Europa dell’Est, non attacca i paesi del CIS, agenzie governative, operatori della sanità, eccetto cliniche private, e istituzioni appartenenti al settore educativo. Si dichiarano assolutamente apolitici e non si sono schierati nel conflitto Russia Ucraina.

Apparso per la prima volta a novembre 2021, è presto diventato uno dei ransomware più temuti avendo mietuto vittime in Australia, India, Stati uniti e, ahimè, Italia con richieste di riscatto che sono arrivate sino a 14 milioni di dollari da pagarsi in #Bitcoin o #Monero.

Come ogni RaaS che si rispetti, gli utilizzatori prima di sferrare un attacco possono configurarlo con oltre 20 parametri differenti che rivelano però delle similitudini con altri ransomware come #BlackMatter e #DarkSide, quest’ultimo noto per l’attacco a #ColonialPipeline.

In un'intervista con Dmitry Smilyanet di Recorded Future, un membro della banda ha affermato che il loro gruppo è strettamente legato a #GranCrab/#Revil, #BlackMatter/#DarkSide e #Maze/#Egregor e che ha tratto vantaggi da queste esperienze eliminandone i difetti e mantenendone i pregi.

Ha dichiarato che il loro ransomware è il migliore e non considera #Conti e #LockBit alla loro altezza. Nell'intervista, ha anche menzionato di fornire servizi avanzati per i loro affiliati che hanno raggiunto almeno $1.5 milioni in riscatti, tra cui outsourcing per la comunicazione con le vittime, affitto di botnet per attacchi DDoS, affitto di potenza computazionale per decifrare le chiavi hash e storage onion distribuito per agevolare le trattative.

Una caratteristica di questo servizio RaaS è che fornisce agli affilianti un# payout che arriva sino al 90% del riscatto, generalmente si arriva al 70%. In pratica l’affiliato, una volta ricevuto il riscatto ne intasca il 90%, il restante 10% va alla banda criminale.

I metodi per accedere alle infrastrutture delle vittime varia, a seconda del gruppo criminale che lo utilizza e può andare dallo sfruttamento di vulnerabilità di Exchange, all’utilizzo di credenziali rubate.

BlackCat inoltre utilizza anche il conosciutissimo #Emotet per penetrare le infrastrutture delle vittime. In quei casi impiega anche #CobaltStrike, come payload di secondo livello, per il lateral movement.

A gennaio è assurto agli onori della cronica per aver pubblicato dati esfiltrati dalle proprie vittime, oltre che nel dark web, anche su siti accessibili nel clear web, naturalmente al fine di mettere maggiore pressione, inducendo il malcapitato al pagamento del riscatto.

È interessante notare che Trend Micro riporta che nel periodo 1° dicembre 2021, 30 Settembre 2022 il podio dei paesi più colpiti vede in testa gli Stati Uniti, secondo classificato il Canada, e terzi a pari merito Italia e Gran Bretagna. Sicuramente un podio del quale non bisogna vantarsi.

Una vittima illustre italiana è stata GSE, il nostro gestore dei servizi energetici.

 

Pin It

A cura di...

Antonio Capobianco
Antonio Capobianco
Malware Analyst
Image
Vincenzo Alonge
Ethical Hacker e Forensic Analyst
Image
Andrea Tassotti
Ethical Hacker e Pentester
Image
Andrea Covino
Ethical Hacker e Forensic Analyst

Per rimanere aggiornato iscriviti alla nostra newsletter

Form by ChronoForms - ChronoEngine.com

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
  • Ethical Hacking
  • Red Teaming
  • Penetration Testing
  • Security Code Review
  • SOC 24x7
  • Formazione specialistica
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:30 - 13:00
14:00 - 18:30

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2024 Fata Informatica. Tutti i diritti riservati.