В недавней статье на Хабре представили подробный анализ нового инструментария и методов, используемых вымогателями BlackCat. Автор (@DeathDay) подробно описывает эволюцию вредоносной программы, используемой хакерами, подчеркивая ее многофункциональность и быстрое развитие.
Ранее гигант медицинского страхования США UnitedHealth назвал группу Blackcat, также известную как ALPHV, виновной в разрушительной кибератаке на его дочернюю компанию Change Healthcare. Эта атака вызвала значительные сбои в системе здравоохранения США, затронув больницы, клиники и аптеки по всей стране.
BlackCat использует инструмент Munchkin, позволяющий ему распространяться из виртуальной среды на другие сетевые устройства. Теперь он может шифровать не только удаленные сетевые ресурсы через SMB, но и ресурсы CIFS. BlackCat распространяется по модели RaaS (Ransomware-as-a-Service), что делает его доступным для широкого круга киберпреступников. Методы распространения? Спам-рассылки, пиратские копии систем, зараженные ISO-образы. BlackCat использует алгоритм AES-128-CBC, шифрует файлы с определенными расширениями в стандартных директориях Windows.
Интересно, что BlackCat обходит UAC, повышает привилегии, маскируется под легальные процессы, удаляет антивирусы. Автор статьи также поделился своим опытом статического и динамического анализа BlackCat, используя различные инструменты. Но стоит помнить, что дешифратор для новых версий BlackCat отсутствует, правда, для старых версий можно найти на No More Ransomware.
BlackCat — один из самых продвинутых вымогателей на сегодняшний день, поэтому борьба с BlackCat требует комплексного подхода, включающего антивирусное ПО, бэкапы и осторожность пользователей.
Подробнее об этом ПО вы можете узнать в источнике.