Перейти к содержанию

Новый шифровальщик BlackCat | Блог Касперского


Рекомендуемые сообщения

Рынок не терпит пустоты: после ухода нашумевших группировок BlackMatter и REvil неизбежно должны были появиться новые игроки. И вот один из них: в декабре прошлого года на хакерских форумах появилась реклама сервисов группировки ALPHV, также известной как BlackCat. После нескольких инцидентов наши эксперты из подразделения Global Research and Analysis Team (GReAT) решили тщательно исследовать схему работы этой группировки и обнародовать результаты в посте на сайте Securelist.

Еще в рекламе злоумышленники говорили, что они изучили ошибки и проблемы предшественников и создали улучшенный вариант зловреда. Однако, судя по некоторым признакам, их связь с BlackMatter и REvil может быть куда более тесной, чем они пытаются показать.

Что за группировка и чем она атакует жертвы?

Создатели шифровальщиков из BlackСat предлагают свои услуги по схеме Ransomware-as-a-Service (RaaS), то есть предоставляют другим злоумышленникам доступ к своей инфраструктуре и вредоносному коду за процент от выкупов. Кроме того, они, вероятно, берут на себя переговоры с жертвой. Таким образом, все, что остается оператору — получить доступ к корпоративной среде, так что разработки BlackCat применяются для атак на компании разного размера по всему миру.

В арсенале BlackCat имеется одноименный шифровальщик. Он написан на языке Rust, благодаря чему злоумышленникам удалось добиться определенной кроссплатформенности: варианты зловреда существуют и под Windows и под Linux.

 

View the full article

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      Недавно «Лаборатория Касперского» объявила об инвестициях в компанию «Мотив НТ», разрабатывающую собственный нейроморфный процессор «Алтай». Давайте разберемся, что же такое нейропроцессоры, чем они отличаются от обычных и почему это очень перспективное направление развития компьютерной техники.
      Компьютерный мозг
      В любом современном компьютере, планшете, смартфоне, цифровом плеере есть процессор — универсальное устройство, созданное для выполнения программ. Принципы работы традиционного процессора были заложены еще в сороковых годах прошлого века и не особо менялись: CPU считывает команды и выполняет их по очереди. Любая программа на уровне, который понятен процессору, разбита на самые простые задачи. Она состоит из команд вроде «считать из памяти», «записать в память», «сложить два числа», «умножить», «разделить» и так далее. Нюансов работы процессоров много, но для нашей сегодняшней темы важно, что процессоры долгое время могли выполнять только одну операцию за цикл работы. Этих циклов могло быть очень много — сначала сотни тысяч, потом миллионы, а теперь и миллиарды в секунду. Тем не менее до недавнего времени (до середины первого десятилетия XXI века) в типичном домашнем компьютере или ноутбуке было не более одного процессора.
      Многозадачность, или возможность выполнять одновременно несколько программ на одном процессоре, достигалась за счет распределения ресурcов: несколько циклов или тактов отдаем одной программе, потом передаем ресурсы другой, потом третьей и так далее. Когда в продажу поступили доступные по цене многоядерные процессоры, появилась и возможность более эффективно распределять ресурсы. Не только запускать разные программы на разных ядрах, но и выполнять одну программу на нескольких ядрах одновременно. Поначалу это было нелегкой задачей, многие программы еще некоторое время не были оптимизированы для многоядерных или многопроцессорных систем.
      Современные процессоры, которые доступны обычному пользователю в магазине, могут иметь 16 или даже 32 вычислительных ядра. Это внушительная цифра, но далеко не максимальная даже в обычной технике для потребителя. Так, в видеокарте Nvidia GeForce 3080Ti установлено 10 240 вычислительных ядер! Почему такая разница? Дело в том, что традиционные процессоры гораздо сложнее вычислительных ядер в видеокарте. Обычные процессоры выполняют ограниченный набор простых функций, но специализированные вычислительные модули в видеокарте еще примитивнее, они способны только на совсем уж элементарные операции. Зато они делают это быстро и особенно выгодны там, где нужно выполнять миллиарды таких операций в секунду. Как в играх, где, например, для расчета освещенности сцены нужно сделать очень много относительно простых вычислений для каждой точки в изображении.
      Несмотря на такую специфику, вычислительные устройства обычных центральных процессоров или видеокарт мало чем фундаментально отличаются друг от друга. Нейроморфные процессоры (ура, вот они!) отличаются от них радикально. Они не пытаются реализовать набор элементов для выполнения арифметических операций, последовательно или параллельно. В них исследователи делают попытку воспроизвести структуру человеческого мозга!
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Онлайн-шопинг прочно вошел в нашу повседневную жизнь: мы покупаем еду, одежду, предметы интерьера и оформляем доставку до двери чуть ли не в один клик. Те, кто привык заказывать в Интернете много и часто, вполне могут забыть о посылке или пропустить звонок от курьера. Вероятно, именно так рассуждают злоумышленники, когда в качестве приманки используют уведомления от служб доставки.
      В данном случае киберпреступники притворяются международной службой экспресс-доставки DHL, а вместо ссылки на фишинговый сайт используют QR-код. Зачем они это делают — сейчас расскажем.
      Ваша посылка прибыла на почту
      Атака начинается с письма якобы от DHL. В адресе, с которого пришло сообщение, — случайный набор слов, ничем не похожих на название международной службы доставки. Зато тело письма преступники оформили вполне убедительно: добавили логотип компании, номер заказа, пусть и ненастоящий, и предполагаемую дату получения посылки.
      В самом сообщении (в данном случае оно написано на испанском) говорится, что заказ прибыл на почту, но курьер не смог доставить его лично. Обычно после подобной «наживки» злоумышленники добавляют ссылку, по которой нужно перейти, чтобы решить вопрос. Но в этот раз они поступили иначе и вставили вместо нее QR-код.
      Письмо с QR-кодом якобы от DHL. На всякий случай мы заменили QR-код на скриншоте на безопасный
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Традиционно принято считать, что маленькие компании с небольшим уровнем дохода не очень интересны киберпреступникам. С одной стороны, действительно, потенциальной выгоды от атаки на такие организации меньше. С другой — у малого бизнеса гораздо меньшие бюджеты на защитные решения, а выделенного специалиста, занимающегося информационной безопасностью, как правило, и вовсе нет. А это значительно повышает успех возможной атаки. Но это все теоретические рассуждения. Давайте лучше посмотрим на пять реальных причин, по которым маленькая компания может оказаться жертвой кибератаки.
      Существование рынка первоначальных доступов
      Недавно наши эксперты исследовали теневой рынок первоначальных доступов к корпоративной инфраструктуре. Согласно результатам этого исследования, большая часть объявлений, размещенных в даркнете, предлагает доступ именно к небольшим компаниям. На практике это означает, что злоумышленники не будут тратить время и ресурсы на подготовку — они просто купят доступ у посредника и используют его для заражения зловредом или похищения конфиденциальной информации.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Сколько-сколько?!
      21 июня пользователь Twitter под ником ohnePixel сообщил о краже из взломанного аккаунта CS:GO коллекции предметов на общую сумму 2 миллиона долларов. Среди украденного были настоящие геймерские реликвии: семь сувенирных AWP Dragon Lore, керамбит без звезды, Blue Gem и многое другое. На всякий случай уточним, что Souvenir Dragon Lore — самый дорогой скин в CS:GO. Он запросто может стоить десятки, а то и сотни тысяч долларов.
      Последние три года эти редкие предметы находились в частной коллекции, поэтому другие игроки и заподозрили неладное, когда скины из взломанного аккаунта массово появились в открытой продаже. По словам все того же ohnePixel, некий взломщик сменил почтовый адрес и пароль от аккаунта владельца предметов в Steam еще неделю назад, но это осталось незамеченным.
      Несколько стримеров даже вели онлайн-трансляцию происходящего на Twitch. По разным оценкам, стоимость украденного инвентаря варьируется от двух до более чем четырех миллионов долларов.

      Огромная популярность и долгая история CS:GO привели к тому, что предметы из него стали одними из самых дорогих в мире игр. Следует отметить, что преступник продавал ворованные скины по ценам значительно ниже рыночных. Это говорит о том, что кибервор либо не знал настоящую стоимость украденного, либо, что более вероятно, хотел побыстрее получить деньги.
       
      View the full article
    • KL FC Bot
      От KL FC Bot
      Эксперты «Лаборатории Касперского» провели глубокий анализ тактик, техник и процедур восьми самых распространенных шифровальщиков-вымогателей — Conti/Ryuk, Pysa, Clop, Hive, Lockbit2.0, RagnarLocker, BlackByte и BlackCat. Сравнивая методы и инструменты злоумышленников на разных стадиях атаки, они пришли к выводу, что многие группировки в общем-то действуют примерно по одним и тем же схемам. Что позволяет создать эффективные универсальные контрмеры, позволяющие надежно защитить инфраструктуру компании от шифровальщиков.
      Полный отчет с детальным анализом каждой техники и примерами ее использования можно найти в документе Common TTPs of modern ransomware groups. В нем можно найти и правила детектирования вредоносных техник в формате SIGMA.
      Отчет предназначен в первую очередь для аналитиков центров мониторинга (SOC), экспертов Threat Hunting и Threat Intelligence, а также специалистов по реагированию на инциденты и по их расследованию. Однако наши исследователи также собрали в отчете и лучшие практики по противодействию шифровальщиком-вымогателям из различных источников. Будет нелишне повторить основные практические рекомендации по защите корпоративной инфраструктуры на этапе предотвращения вторжений и на нашем блоге.
       
      View the full article
×
×
  • Создать...