Группа вымогателей ALPHV, также известная как BlackCat, продолжает представлять серьезную угрозу в области кибербезопасности. Используя модель «Программа-вымогатель как услуга» (RaaS), она предоставляет аффилированным лицам доступ к своим программам-вымогателям взамен на значительную долю прибыли, достигающую 80-90%. Такой подход не только поощряет киберпреступников, но и способствует реинвестированию заработанных средств для расширения возможностей атак.
Крупные инциденты и последствия
Деятельность ALPHV привела к значительным нарушениям в сфере кибербезопасности. Одним из ярких примеров является крупная атака на Change Healthcare в феврале 2024 года, в результате которой была раскрыта личная информация более чем 100 миллионов человек. Этот инцидент стал крупнейшей утечкой медицинских данных в истории США.
Анализ вредоносного ПО
Анализ вредоносного ПО, например файла «Asss1exe.bin», показал продолжающуюся вредоносную активность, способную повлиять на защиту организаций. BlackCat применяет передовые тактики для достижения своих целей, включая:
- Фишинг с целью получения информации через олицетворение;
- Методы обхода контроля учетных записей пользователей (UAC);
- Тщательную разведку для разработки атак против конкретных целей.
Механизмы атаки
Вредоносная программа запускается с помощью параметров командной строки, что позволяет ей определять свое поведение, используя токен доступа для выполнения. Она использует автономные двоичные файлы (LoLBins) и Windows API для обхода обнаружения, что делает ее действия менее заметными для систем безопасности. BlackCat также изменяет значения реестра, чтобы обеспечить горизонтальное перемещение и массовое шифрование файлов.
Основные функциональные возможности программ-вымогателей включают:
- Отключение параметров восстановления;
- Удаление теневых копий;
- Шифрование данных с использованием сложных методов, что делает файлы недоступными без ключей расшифровки.
Предотвращение угроз от BlackCat
Организациям, сталкивающимся с угрозой от BlackCat, настоятельно рекомендуется внедрять комплексные стратегии защиты. К ним относятся:
- Регулярные обновления программного обеспечения;
- Передовые решения для обнаружения конечных точек и реагирования на них (EDR);
- Обучение пользователей;
- Сегментация сети;
- Надежные протоколы резервного копирования.
Эти меры помогут свести к минимуму уязвимости и повысить устойчивость к появляющимся угрозам со стороны программ-вымогателей. Актуальность превентивной киберзащиты становится особенно очевидной в свете сложных методов, используемых такими группами, как BlackCat.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Группа ALPHV: Угрозы и риски от программ-вымогателей".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.