Что такое программа-вымогатель BlackCat в криптовалюте?

Атаки с использованием программ-вымогателей продолжают поражать мир криптовалют, и одним из наиболее заметных игроков является группа BlackCat.

Атаки с использованием программ-вымогателей, нацеленных на криптовалюты, получили широкое распространение. Криптовалюта, будучи анонимной и децентрализованной, является привлекательной для киберпреступников. Они все больше отдают предпочтение относительной анонимности криптовалют и простоте трансграничных переводов. 

Группы программ-вымогателей, включая BlackCat, используют эти возможности, требуя платежей в криптовалюте, что затрудняет властям отслеживание и возврат украденных средств. В 2024 году произошел значительный всплеск частоты и серьезности атак.

Отчет Chainalysis о криптовалютной киберпреступности указал на эту растущую тенденцию:

• В середине 2024 года было зафиксировано 1,9 миллиарда платежей от программ-вымогателей, что на 80% больше, чем в 2023 году.
• В 2024 году средний спрос на выкуп вырос на 30%, достигнув почти 6 миллионов долларов за атаку.

Жертвами требований о выкупе в биткоинах и других криптовалютах на миллионы долларов стали не только такие корпорации, как MGM Resorts или UnitedHealth, но даже индивидуальные инвесторы. Киберпреступники используют все более изощренные тактики, такие как двойное вымогательство, когда хакеры шифруют данные и угрожают разглашением конфиденциальной информации, если не будет произведена дополнительная оплата.

Познакомьтесь с крипто-вымогательскими программами BlackCat, посмотрите, как работает группа, и узнайте, что можно сделать для защиты от растущих угроз блокчейна.

Программа-вымогатель BlackCat, также известная как Noberus или ALPHV, представляет собой тип вредоносного ПО, созданного группой русскоязычных киберпреступников.

BlackCat - это очень сложная группа программ-вымогателей как услуга (RaaS), которая неоднократно попадала в заголовки газет благодаря своим разрушительным атакам в мире криптовалют. Группа впервые появилась в ноябре 2021 года. С тех пор она нацелена на сотни организаций по всему миру, включая Reddit в 2023 году и Change Healthcare в 2024 году. 

BlackCat действует по определенному принципу - внедряется в системы, шифрует данные и требует солидных выкупов в криптовалюте за восстановление доступа. Что отличает BlackCat от других программ-вымогателей, так это их усовершенствованная структура кода и настраиваемые методы атаки, которые часто адаптируются к уязвимостям каждой цели, что делает их очень эффективными.

Когда BlackCat только начинался, он был разработан для поддержки широкого спектра операционных систем, от Windows до Linux, с использованием редкого языка программирования Rust, который обеспечивает большую гибкость и скорость шифрования. 

К 2024 году BlackCat активизировала свои усилия, используя слабые места как в корпоративной инфраструктуре, так и на криптоплатформах. Атаки часто проводятся по модели двойного вымогательства, при которой не только шифруются данные, но и крадется конфиденциальная информация, за которой следуют угрозы ее утечки, если не будет произведена дополнительная оплата. Такая тактика дает группе огромные рычаги воздействия на своих жертв.

Что делает BlackCat еще более пугающим, так это принцип работы модели. У них децентрализованная партнерская модель. Это означает, что они нанимают хакеров по всему миру, которые могут синхронизировать и проводить атаки от их имени, каждый с настраиваемой полезной нагрузкой.

Вот краткое описание того, как работает программа-вымогатель BlackCat:

1. Первоначальный доступ: BlackCat обычно проникает в системы с помощью фишинговых сообщений электронной почты, украденных учетных данных или использования незащищенных уязвимостей.
2. Обеспечение постоянства: злоумышленники устанавливают бэкдоры для сохранения доступа и сбора учетных данных, чтобы иметь возможность свободно перемещения по сети.
3. Шифрование данных: используя язык программирования Rust, BlackCat шифрует важные файлы, делая их непригодными для использования без ключа расшифровки.
4. Двойное вымогательство: злоумышленники крадут данные перед их шифрованием, угрожая их утечкой, если выкуп не будет выплачен.
5. Требования о выкупе: требуются платежи в криптовалютах, таких как Bitcoin или Monero, на сумму, равную миллионам долларов, что обеспечивает анонимность злоумышленника.
6. Настраиваемые атаки: аффилированные лица могут адаптировать программу-вымогатель к конкретным жертвам, ориентируясь на платформы Windows или Linux с помощью передовых методов, которые позволяют избежать обнаружения.

Жертвы должны платить выкуп в криптовалюте, что обеспечивает анонимность и делает практически невозможным отслеживание или возврат средств для властей. Влияние BlackCat на криптопространство является напоминанием о важности защиты цифровых активов и инфраструктуры от этих постоянно развивающихся киберугроз.

Использование BlackCat языка программирования Rust позволяет гибко работать как с системами Windows, так и с Linux, что делает ее более адаптируемой по сравнению с другими программами-вымогателями.

Партнерские программы - это независимые хакеры, которые сотрудничают с группой BlackCat, используя ее сложную модель и инструменты RaaS.

Деятельность BlackCat основана на партнерской модели, в которой множество участников способствуют ее широкому охвату. Вот как это работает:

1. Партнерская программа: киберпреступники регистрируются в программе BlackCat, чтобы получать доступ к вредоносным программам-вымогателям и распространять их.
2. Модель распределения прибыли: партнеры получают значительную часть от любого полученного ими выкупа, а часть отправляется разработчикам BlackCat.
3. Тактика двойного вымогательства: партнеры часто используют двусторонний подход, шифруя данные и угрожая их утечкой, если выкуп не будет выплачен.
4. Настраиваемая полезная нагрузка: BlackCat предоставляет партнерам возможность настраивать программы-вымогатели для конкретных целей, что затрудняет защиту от атак.
5. Платежи в криптовалюте: партнеры требуют выкуп в криптовалюте, что обеспечивает анонимность и чрезвычайно затрудняет отслеживание платежей.

Эта партнерская модель позволила BlackCat быстро масштабироваться и атаковать множество ценных целей в разных секторах.

Группе BlackCat удалось атаковать крупные организации, что привело к значительным операционным и финансовым последствиям.

Ниже приведены несколько примечательных примеров, иллюстрирующих масштабы и серьезность институциональных атак BlackCat:

• Атака на Oiltanking group и Mabanaft: в начале 2022 года BlackCat нанесла удар по OilTanking Group и Mabanaft. В результате атаки были выведены из строя их системы хранения и распределения топлива, что значительно нарушило цепочки поставок в Германии. Хакеры потребовали значительный выкуп за разблокировку зашифрованных систем, хотя точная сумма не разглашалась (на покупку биткоина или криптовалюты Monero для выплаты выкупа было отведено 5-7 дней). Сообщений об арестах в связи с этой атакой не поступало. ​
• MGM Resorts и Caesars Entertainment: в сентябре 2023 года BlackCat была вовлечена в громкую атаку программ-вымогателей на MGM Resorts International и Caesars Entertainment. Ставки были высокими - Caesars изначально столкнулась с требованием 30 миллионов долларов в биткоинах, но сумела договориться о снижении цены до 15 миллионов долларов. Однако MGM Resorts отказалась платить выкуп, что привело к остановке работы на несколько недель и финансовым потерям в размере 100 миллионов долларов за квартал. Эта атака была осуществлена аффилированной с BlackCat компанией Scattered Spider, группой американских и британских хакеров.
• Change Healthcare: в начале 2024 года BlackCat атаковал Change Healthcare, дочернюю компанию UnitedHealth Group, что привело к краже конфиденциальных данных пациентов и сбоям в работе. Чтобы восстановить свои системы, Change Healthcare, как сообщается, заплатила выкуп в размере 22 миллионов долларов в биткоинах. Это событие высветило растущий риск атак программ-вымогателей в секторе здравоохранения и то опасное положение, в котором находятся компании, когда имеют дело с этими киберпреступниками.

Понимание основных причин и принципов работы программ-вымогателей - это первый шаг к защите от них.

Для защиты от программ-вымогателей BlackCat очень важно избегать ошибок и принимать следующие защитные меры:

1. Регулярно создавайте резервные копии своих данных: частое создание зашифрованных резервных копий, хранящихся в автономном режиме, может стать спасением, если ваши файлы зашифрованы.
2. Установите надежные протоколы кибербезопасности: убедитесь, что команда по кибербезопасности организации регулярно проводит оценку уязвимостей и применяет такие протоколы безопасности, как многофакторная аутентификация и мониторинг сети. 
3. Обучение сотрудников: команда также должна провести обучение сотрудников, чтобы убедиться, что все понимают и соблюдают рекомендации по обеспечению безопасности на официальных рабочих каналах и платформах. 
4. Установите антивирусное программное обеспечение: надежная антивирусная система может помочь обнаружить и остановить вредоносное ПО до того, как оно зашифрует ваши файлы.
5. Остерегайтесь попыток фишинга: будьте активны в выявлении и предотвращении фишинговых электронных писем, которые могут содержать вредоносные программы-вымогатели.
6. Используйте системы управления паролями: регулярное обновление паролей может помешать киберпреступникам получить доступ к учетным записям.
7. Сегментируйте свою сеть: изолирование частей вашей сети может ограничить распространение программ-вымогателей. 

Несмотря на то, что международные правоохранительные органы принимают жесткие меры, BlackCat остается серьезной угрозой в 2024 году. Поэтому пользователи криптовалют должны сохранять бдительность, усиливать свои меры кибербезопасности и быть в курсе появляющихся угроз со стороны программ-вымогателей.