Cos'è Blackcat Ransomware e come difendersi?
Pubblicato: 2022-12-27Un attacco informatico è un tentativo deliberato e dannoso di ottenere l'accesso non autorizzato a un sistema informatico o a una rete attraverso vulnerabilità esistenti. Questo può essere fatto per rubare informazioni sensibili e interrompere le normali operazioni.
Negli ultimi tempi, il ransomware è diventato lo strumento di attacco informatico preferito dai criminali informatici. Il ransomware viene generalmente diffuso tramite e-mail di phishing, download drive-by, software piratato e protocollo di scrivania remota, tra gli altri.
Una volta che un computer è stato infettato da ransomware, il ransomware crittografa i file critici nel computer. Gli hacker richiedono quindi un riscatto per ripristinare i dati crittografati.
Gli attacchi informatici possono compromettere la sicurezza nazionale di un paese, paralizzare le operazioni in settori chiave di un'economia e causare danni immensi e gravi perdite finanziarie. Questo è esattamente quello che è successo con l'attacco informatico ransomware WannaCry.
Il 12 maggio 2017, il ransomware chiamato WannaCry si ritiene abbia avuto origine dalla Corea del Nord, si è diffuso in tutto il mondo e ha infettato oltre 200.000 sistemi informatici in oltre 150 paesi in meno di due giorni. WannaCry ha preso di mira i sistemi informatici che eseguono il sistema operativo Windows. Ha sfruttato una vulnerabilità nel protocollo di blocco dei messaggi del server del sistema operativo.
Una delle maggiori vittime dell'attacco è stato il servizio sanitario nazionale del Regno Unito (NHS). Oltre 70.000 dei loro dispositivi, inclusi computer, teatri, apparecchiature diagnostiche e scanner MRI, sono stati infettati. I medici non potevano accedere ai propri sistemi o alle cartelle cliniche necessarie per assistere i pazienti. Questo attacco è costato al SSN quasi 100 milioni di dollari.
Ecco quanto male può diventare. Tuttavia, le cose possono andare molto peggio, soprattutto con nuovi e più pericolosi Ransomware come BlackCat, che si sta lasciando alle spalle un percorso pieno di vittime.
Blackcat ransomware
Il ransomware BlackCat, denominato ALPHV dai suoi sviluppatori, è un software dannoso che, dopo aver infettato un sistema, esfiltra e crittografa i dati nel sistema interessato. L'esfiltrazione comporta la copia e il trasferimento dei dati memorizzati in un sistema. Una volta che BlackCat ha esfiltrato e crittografato i dati critici, viene presentata una richiesta di riscatto pagabile in criptovaluta. Le vittime di BlackCat sono tenute a pagare il riscatto richiesto per riottenere l'accesso ai propri dati.
BlackCat non è un normale ransomware. BlackCat è stato il primo ransomware di successo ad essere scritto in Rust, a differenza di altri ransomware tipicamente scritti in C, C++, C#, Java o Python. Inoltre, BlackCat è stata anche la prima famiglia di ransomware ad avere un sito Web in chiaro dove trapelano informazioni rubate dai loro attacchi.
Un'altra differenza fondamentale rispetto ad altri ransomware è che BlackCat opera come ransomware come servizio (RaaS). Raas è un modello di business del crimine informatico in cui i creatori di ransomware affittano o vendono il loro ransomware come servizio ad altri individui o gruppi.
In questo modello, i creatori di ransomware forniscono tutti gli strumenti e l'infrastruttura necessari affinché altri possano distribuire ed eseguire attacchi ransomware. Questo è in cambio di una quota dei loro profitti ottenuti dai pagamenti ransomware.
Questo spiega perché BlackCat ha preso di mira principalmente organizzazioni e aziende, poiché di solito sono più disposte a pagare il riscatto rispetto ai singoli individui. Anche le organizzazioni e le imprese pagano un riscatto maggiore rispetto ai privati. La guida umana e il prendere decisioni negli attacchi informatici sono noti come attori della minaccia informatica (CTA).
Per costringere le vittime a pagare il riscatto, BlackCat utilizza la "tecnica della tripla estorsione". Ciò comporta la copia e il trasferimento dei dati delle vittime e la crittografia dei dati sui loro sistemi. Alle vittime viene quindi chiesto di pagare un riscatto per accedere ai propri dati crittografati. In caso contrario, i loro dati vengono divulgati al pubblico e / o attacchi denial of service (DOS) lanciati sui loro sistemi.
Infine, coloro che saranno interessati dalla fuga di dati vengono contattati e informati che i loro dati saranno divulgati. Di solito si tratta di clienti, dipendenti e altri affiliati dell'azienda. Questo viene fatto per spingere le organizzazioni delle vittime a pagare un riscatto per evitare perdite di reputazione e azioni legali derivanti dalla fuga di dati.
Come funziona BlackCat ransomware
Secondo un avviso flash rilasciato dall'FBI, il ransomware BlackCat utilizza credenziali utente precedentemente compromesse per ottenere l'accesso ai sistemi.
Una volta entrato correttamente nel sistema, BlackCat utilizza l'accesso di cui dispone per compromettere gli account utente e amministratore archiviati nella directory attiva. Ciò gli consente di utilizzare l'Utilità di pianificazione di Windows per configurare oggetti Criteri di gruppo dannosi (GPO) che consentono a BlackCat di distribuire il proprio ransomware per crittografare i file in un sistema.
Durante un attacco BlackCat, gli script PowerShell vengono utilizzati insieme a Cobalt Strike per disabilitare le funzionalità di sicurezza nella rete di una vittima. BlackCat quindi ruba i dati delle vittime da dove sono archiviati, anche dai fornitori di servizi cloud. Fatto ciò, l'attore della minaccia informatica che guida l'attacco distribuisce il ransomware BlackCat per crittografare i dati nel sistema della vittima.
Le vittime ricevono quindi una richiesta di riscatto che le informa che i loro sistemi hanno subito un attacco e file importanti crittografati. Il riscatto fornisce anche istruzioni su come pagare il riscatto.
Perché BlackCat è più pericoloso del ransomware medio?
BlackCat è pericoloso rispetto al ransomware medio per una serie di motivi:
È scritto in ruggine
Rust è un linguaggio di programmazione veloce, sicuro e che offre prestazioni migliorate e una gestione efficiente della memoria. Utilizzando Rust, BlackCat raccoglie tutti questi vantaggi, rendendolo un ransomware molto complesso ed efficiente con una crittografia veloce. Rende anche difficile il reverse engineering di BlackCat. Rust è un linguaggio multipiattaforma che consente agli attori delle minacce di personalizzare facilmente BlackCat per prendere di mira diversi sistemi operativi, come Windows e Linux, aumentando la loro gamma di potenziali vittime.
Utilizza un modello di business RaaS
L'utilizzo da parte di BlackCat del ransomware come modello di servizio consente a molti attori delle minacce di distribuire ransomware complessi senza dover sapere come crearne uno. BlackCat fa tutto il lavoro pesante per gli attori delle minacce, che devono solo implementarlo in un sistema vulnerabile. Ciò semplifica gli attacchi ransomware sofisticati per gli attori delle minacce interessati a sfruttare i sistemi vulnerabili.
Offre enormi pagamenti agli affiliati
Con BlackCat che utilizza un modello Raas, i creatori guadagnano prendendo una parte del riscatto pagato agli attori delle minacce che lo implementano. A differenza di altre famiglie Raas che prendono fino al 30% del pagamento del riscatto di un attore di minacce, BlackCat consente agli attori delle minacce di trattenere dall'80% al 90% del riscatto che fanno. Ciò aumenta l'attrattiva di BlackCat per gli attori delle minacce, consentendo a BlackCat di ottenere più affiliati disposti a implementarlo negli attacchi informatici.
Ha un sito di fuga pubblico sul web in chiaro
A differenza di altri ransomware che fanno trapelare informazioni rubate sul dark web, BlackCat fa trapelare informazioni rubate su un sito Web accessibile sul web trasparente. Facendo trapelare i dati rubati in chiaro, più persone possono accedere ai dati, aumentando le ripercussioni di un attacco informatico ed esercitando una maggiore pressione sulle vittime affinché paghino il riscatto.
Il linguaggio di programmazione Rust ha reso BlackCat molto efficace nel suo attacco. Utilizzando un modello Raas e offrendo un'enorme vincita, BlackCat fa appello a più attori delle minacce che hanno maggiori probabilità di implementarlo negli attacchi.
Catena di infezione di BlackCat Ransomware
BlackCat ottiene l'accesso iniziale a un sistema utilizzando credenziali compromesse o sfruttando le vulnerabilità di Microsoft Exchange Server. Dopo aver ottenuto l'accesso a un sistema, gli attori malintenzionati abbattono le difese di sicurezza del sistema e raccolgono informazioni sulla rete della vittima e aumentano i propri privilegi.
Il ransomware BlackCat si sposta quindi lateralmente nella rete, ottenendo l'accesso a quanti più sistemi possibile. Questo è utile durante la richiesta di riscatto. Più sistemi vengono attaccati, più è probabile che una vittima paghi il riscatto.
Gli attori malintenzionati quindi esfiltrano i dati del sistema che devono essere utilizzati per l'estorsione. Una volta che i dati critici sono stati esfiltrati, il palcoscenico è pronto per la consegna del payload BlackCat.
Gli attori malintenzionati consegnano BlackCat usando Rust. BlackCat interrompe innanzitutto servizi come backup, applicazioni antivirus, servizi Internet di Windows e macchine virtuali. Fatto ciò, BlackCat crittografa i file nel sistema e deturpa l'immagine di sfondo di un sistema sostituendola con la nota di riscatto.
Proteggi da BlackCat Ransomware
Sebbene BlackCat si stia dimostrando più pericoloso di altri ransomware visti in precedenza, le organizzazioni possono proteggersi dal ransomware in diversi modi:
Crittografare i dati critici
Parte della strategia di estorsione di Blackhat prevede la minaccia di far trapelare i dati di una vittima. Crittografando i dati critici, un'organizzazione aggiunge un ulteriore livello di protezione ai propri dati, paralizzando così le tecniche di estorsione utilizzate dagli attori delle minacce BlackHat. Anche se è trapelato, non sarà in un formato leggibile dall'uomo.
Aggiorna regolarmente i sistemi
Nella ricerca condotta da Microsoft, è stato rivelato che in alcuni casi BlackCat ha sfruttato i server di scambio senza patch per ottenere l'accesso ai sistemi di un'organizzazione. Le società di software rilasciano regolarmente aggiornamenti software per affrontare vulnerabilità e problemi di sicurezza che potrebbero essere stati scoperti nei loro sistemi. Per sicurezza, installa le patch del software non appena sono disponibili.
Backup dei dati in un luogo sicuro
Le organizzazioni dovrebbero dare la priorità al backup regolare dei dati e all'archiviazione dei dati in una posizione offline separata e sicura. Questo per garantire che anche nel caso in cui i dati critici vengano crittografati, possano comunque essere ripristinati dai backup esistenti.
Implementa l'autenticazione a più fattori
Oltre a utilizzare password complesse in un sistema, implementare l'autenticazione a più fattori, che richiede più credenziali prima che venga concesso l'accesso a un sistema. Questo può essere fatto configurando un sistema per generare una password monouso inviata a un numero di telefono o e-mail collegato, necessaria per accedere a un sistema.
Monitorare l'attività su una rete e i file in un sistema
Le organizzazioni dovrebbero monitorare costantemente l'attività sulle loro reti per rilevare e rispondere alle attività sospette nelle loro reti il più velocemente possibile. Anche le attività su una rete dovrebbero essere registrate e riviste da esperti di sicurezza per identificare potenziali minacce. Infine, dovrebbero essere messi in atto sistemi per tenere traccia di come si accede ai file in un sistema, chi vi accede e come vengono utilizzati.
Crittografando i dati critici, assicurando che i sistemi siano aggiornati, effettuando regolarmente il backup dei dati, implementando l'autenticazione a più fattori e monitorando l'attività in un sistema. Le organizzazioni possono essere un passo avanti e prevenire gli attacchi di BlackCat.
Risorse di apprendimento: ransomware
Per saperne di più sugli attacchi informatici e su come proteggersi dagli attacchi di ransomware come BlackCat, ti consigliamo di seguire uno di questi corsi o di leggere i libri suggeriti di seguito:
#1. Formazione sulla consapevolezza della sicurezza
Questo è un corso straordinario per tutti coloro che sono interessati alla sicurezza su Internet. Il corso è offerto dal Dr. Michael Biocchi, Certified Information Systems Security Professional (CISSP).
Il corso copre phishing, ingegneria sociale, perdita di dati, password, navigazione sicura e dispositivi personali e offre suggerimenti generali su come essere al sicuro online. Il corso viene aggiornato regolarmente e tutti coloro che utilizzano Internet ne trarranno beneficio.
#2. Formazione sulla consapevolezza della sicurezza, sicurezza Internet per i dipendenti
Questo corso è pensato per gli utenti di Internet di tutti i giorni e mira a istruirli sulle minacce alla sicurezza di cui le persone spesso non sono a conoscenza e su come proteggersi dalle minacce.
Il corso offerto da Roy Davis, un esperto di sicurezza delle informazioni certificato CISSP, copre responsabilità di utenti e dispositivi, phishing e altre e-mail dannose, ingegneria sociale, gestione dei dati, domande su password e sicurezza, navigazione sicura, dispositivi mobili e ransomware. Completando il corso ottieni un certificato di completamento, che è sufficiente per essere conforme alle politiche di regolamentazione dei dati nella maggior parte dei luoghi di lavoro.
#3. Sicurezza informatica: formazione di sensibilizzazione per principianti assoluti
Questo è un corso Udemy offerto da Usman Ashraf di Logix Academy, una startup di formazione e certificazione. Usman è certificato CISSP e ha un dottorato di ricerca. nelle reti di computer e molta esperienza nel settore e nell'insegnamento.
Questo corso offre agli studenti un approfondimento su ingegneria sociale, password, smaltimento sicuro dei dati, reti private virtuali (VPN), malware, ransomware e suggerimenti per la navigazione sicura e spiega come vengono utilizzati i cookie per tracciare le persone. Il corso non è tecnico.
#4. Ransomware rivelato
Questo è un libro di Nihad A. Hassan, un consulente indipendente per la sicurezza delle informazioni ed esperto di sicurezza informatica e digital forensics. Il libro insegna come mitigare e gestire gli attacchi ransomware e offre ai lettori uno sguardo approfondito ai diversi tipi di ransomware esistenti, alle loro strategie di distribuzione e ai metodi di ripristino.
| Anteprima | Prodotto | Valutazione | Prezzo | |
|---|---|---|---|---|
 | Ransomware rivelato: una guida per principianti alla protezione e al recupero dagli attacchi ransomware | $ 23,74 | Acquista su Amazon |
Il libro copre anche i passaggi da seguire in caso di infezione da ransomware. Ciò comprende come pagare i riscatti, come eseguire backup e ripristinare i file interessati e come cercare online strumenti di decrittazione per decrittografare i file infetti. Copre anche il modo in cui le organizzazioni possono sviluppare un piano di risposta agli incidenti ransomware per ridurre al minimo i danni da ransomware e ripristinare rapidamente le normali operazioni.
#5. Ransomware: capisci. Prevenire. Recuperare
In questo libro, Allan Liska, senior security architect e specialista di ransomware presso Recorded Future, risponde a tutte le difficili domande relative al ransomware.
| Anteprima | Prodotto | Valutazione | Prezzo | |
|---|---|---|---|---|
 | Ransomware: capisci. Prevenire. Recuperare. | $ 17,99 | Acquista su Amazon |
Il libro fornisce un contesto storico del motivo per cui il ransomware è diventato prevalente negli ultimi anni, come fermare gli attacchi ransomware, le vulnerabilità che gli attori malintenzionati prendono di mira utilizzando il ransomware e una guida per sopravvivere a un attacco ransomware con danni minimi. Inoltre, il libro risponde alla domanda fondamentale, dovresti pagare il riscatto? Questo libro offre un'entusiasmante esplorazione del ransomware.
#6. Playbook sulla protezione dai ransomware
Per qualsiasi individuo o organizzazione che cerchi di armarsi contro il ransomware, questo libro è una lettura obbligata. In questo libro, Roger A. Grimes, esperto di sicurezza informatica e penetrazione, offre la sua vasta esperienza e conoscenza nel settore per aiutare le persone e le organizzazioni a proteggersi dal ransomware.
| Anteprima | Prodotto | Valutazione | Prezzo | |
|---|---|---|---|---|
 | Playbook sulla protezione dai ransomware | $ 17,00 | Acquista su Amazon |
Il libro offre un modello attuabile per le organizzazioni che cercano di formulare solide difese contro il ransomware. Insegna anche come rilevare un attacco, limitare rapidamente i danni e determinare se pagare o meno il riscatto. Offre inoltre un piano di gioco per aiutare le organizzazioni a limitare la reputazione e i danni finanziari causati da gravi violazioni della sicurezza.
Infine, insegna come creare una base sicura per l'assicurazione sulla sicurezza informatica e la protezione legale per mitigare l'interruzione del lavoro e della vita quotidiana.
Nota dell'autore
BlackCat è un ransomware rivoluzionario destinato a cambiare lo status quo quando si tratta di sicurezza informatica. A marzo 2022, BlackCat aveva attaccato con successo oltre 60 organizzazioni ed era riuscito ad attirare l'attenzione dell'FBI. BlackCat è una seria minaccia e nessuna organizzazione può permettersi di ignorarla.
Utilizzando un linguaggio di programmazione moderno e metodi non convenzionali di attacco, crittografia ed estorsione di riscatto, BlackCat ha lasciato che gli esperti di sicurezza si mettessero al passo. Tuttavia, la guerra contro questo ransomware non è persa.
Implementando le strategie evidenziate in questo articolo e riducendo al minimo la possibilità che l'errore umano esponga i sistemi informatici, le organizzazioni possono rimanere un passo avanti e prevenire l'attacco catastrofico del ransomware BlackCat.