BlackCat ransomware – analisi della minaccia

Il 2022 è senza dubbio l’anno più fiorente per i ransomware.

E a partire dalla fine dello scorso anno, dopo alcune fusioni tra gang di cybercriminali è stato messo a disposizione il nuovo ransomware BlackCat, il primo in assoluto ad essere programmato in Rust e il più sofisticato di sempre. Molte delle informazioni che abbiamo a disposizione su ransomware BlackCat le dobbiamo a TrendMicro, la quale per mesi ha studiato le evoluzioni della minaccia facendo emergere un aspetto fondamentale:

BlackCAt ransomware è sottoposto a continua evoluzione al fine di eludere ogni possibile attività di rilevamento.
Infatti, come vedremo nel nostro articolo BlackCat è in grado di mascherare una DLL manomessa per farla sembrare legittima. In altre parole, il ransomware riesce a manomettere i file che contengono le istruzioni di routine dei sistemi operativi senza destare sospetti.

Ma come è organizzato questo gruppo che si autoproclama la “nuova generazione dei ransomware” e che attacca solo società di alto livello?
Chi sono e come agiscono questi criminali?

Il ransomware BlackCat è estatemente letale in quanto l’attacco viene gestito in toto da mani umane, non è un processo automatizzato. Anche per questo motivo le fasi pre-riscatto di questi attacchi possono essere notevolmente diverse.

Ciò che possiamo dirvi con certezza è che dall’inizio dell’anno ransomware BlackCat ha messo a segno attacchi verso più di 60 organizzazioni in tutto il mondo. La distribuzione del payload del ransomware tramite PsExec.exesi si è rivelata il metodo di diffusione dell’attacco più comune.

La richiesta di riscatto del ransomware viene presentata all’interno di un file .txt nominato Ransom.Win32.BLACKCAT.B.note

Ecco, quello che sappiamo per ora.

1. Che cosa è ransomware BlackCat?

2. Funzionamento e caratteristiche di ransomware BlackCat

3. Chi sono i cybercriminali dietro ransomware BlackCat

4. Analisi case studi aziende attaccate da ransomware BlackCat

5. Strategie di difesa da ransomware BlackCat

BlackCat (alias Alphv) è un gruppo ransomware apparso per la prima volta alla fine del 2021.

Analizzando le loro tattiche e strategie è stato possibile individuare un legame con il gruppo BlackMatter e si è ipotizzato che BlackCat potesse essere solo un nuovo nome per lo stesso gruppo.
Questa ipotesi, sebbene verosimile, visto che è pratica comune delle cybergang quella di rinominarsi per confondere le autorità che le prendono di mira.
Il gruppo ransomware è composto da ex partner di molti altri gruppi di criminali specializzati nei servizi di hacking RaaS dai quali hanno estrapolato know-how e modus operandi.

Ciononostante, BlackCat si distingue da tutti gli altri gruppi ransomware per essere il primo ad aver implementato malware scritti con il linguaggio di programmazione Rust.

In realtà, già in precedenza Rust era stato impiegato per la scrittura di malware.
Nel 2020 una versione sperimentale era stata rilasciata su GitHub e BadBeeTeam usava questo stesso linguaggio di programmazione, tuttavia BlackCat è stato il primo ad impiegarlo in attacchi reali, nonché attualmente l’unico attivo.

I malware BlackCat possiedono un set di funzionalità innovative e personalizzabili che li rendono adatti per attacchi ad un’ampia gamma di ambienti digitali.

Questo malware è in grado di:

• Utilizzare diverse tipologie di crittografia
• Replicarsi lateralmente tra dispositivi presenti in una rete: l’eseguibile può estrarre PSExec ed usarlo per copiare il malware su altri dispositivi
• Agire liberamente su dispositivi con sistema operativo Windows, Linux e VMWare eSXI,
• crittografare i file di destinazione e a tutti viene aggiunta un’estensione di 7 cifre casuali
• Killare macchine virtuali anche ESXi
• Cancellare le istantanee ESXi per impedire il ripristino
• Modificare grazie ad una configurazione JSON:
  • cartelle e/o estensioni e/o file esclusi
  • note di riscatto (ransomware note)
  • Interruzione automatica dei servizi e dei processi

Il gruppo inoltre possiede almeno cinque domini onion ( quindi accessibili tramite Tor), tre di questi sono dedicati alla negoziazione con le vittime.
I restanti due sono dedicati all’esposizione dei leaks, uno è privato e non più accessibile che è stato soppiantato dal secondo, ancora attivo e pubblico.

I ricercatori che hanno analizzato tutte le informazioni riguardo BlackCat sono riusciti a compilare una linea del tempo dello sviluppo del ransomware: dalla sua nascita fino ad oggi.

La creazione di BlackCat sarebbe avvenuta tra il 18 e il 15 novembre 2021 e il 4 dicembre la registrazione dell’account suoi forum normalmente frequentati dai black hat hacker. Pochi giorni dopo su questi stessi canali sono stati pubblicati annunci per la selezione di personale per il pentesting e successivamente una campagna di affiliazione.

I cosiddetti affiliati ricevono una versione del ransomware che possono utilizzare negli attacchi mirati.
Il 10-20% dei guadagni viene poi versato agli autori del malware mentre il resto rimane all’affiliato. Il gruppo è estremamente attivo anche nella doppia estorsione, facendo pressione con l’esfiltrazione dei dati sulle vittime affinché paghino il riscatto.

Dall’inizio del 2022 moltissime sono state le aziende vittima di attacchi di questo tipo, riportiamo di seguito alcuni episodi a titolo di esempio.

Lo scorso febbraio ad essere presa di mira fu Swissport la compagnia aerea svizzera che fornisce servizi di movimentazione merci, sicurezza, manutenzione e pulizia in centinaia di aeroporti. L’attacco ha causato ritardi di voli, disservizi per quello che riguarda l’accesso alle pagine web della società.
Sempre ad inizio febbraio anche altre compagnie petrolifere e di trasporto europee hanno segnalato attacchi ai loro servizi IT. Anche in questo caso le conseguenze sono state importanti. Alcune società energetiche hanno dovuto reindirizzare le loro forniture di petrolio e i disservizi sono stati subiti dai clienti di centinaia di benzinai. Anche l’alta moda non è stata risparmiata, tra gli obiettivi di BlackCat si è trovato anche il colosso Moncler, che pur non avendo pagato il riscatto è stata esposta a danni di immagine consistenti. Infine a Giugno perfino l’università di Pisa ha subito un attacco.

La difesa da questo tipo di minaccia non è impossibile ma necessita di strumentazioni software adeguate professionali e di alto livello oltre che di un monitoraggio umano della situazione. Ecco alcuni consigli per limitare la probabilità di successo anche per questo ransomware.

• Costruire l’igiene delle credenziali. Rafforzate le vostre password di accesso.

  In quasi tutti gli attacchi BlackCat ransomware di successo, gli aggressori hanno avuto accesso a un account amministratore di dominio.

• Proteggere le risorse e le identità cloud, nonché gli account locali.

• Mantenete i dispositivi costantemente aggiornati, questo riduce le vulnerabilità che il malware potrebbe sfruttare per violare la rete.

• Monitorate costantemente traffico in uscita ed in entrata alla ricerca di picchi sospetti che potrebbero indicare delle attività hacker illecite.

• Prevedete dei backup frequenti e conservatene una copia off line. In questo modo i criminali non potranno cancellarli ne manometterli e potrete accedervi velocemente in caso di emergenza. Inoltre la perdita dei dati sarà più piccola quando più spesso è eseguito il backup.

• Prevedete una protezione ransomware per tutti gli endpoint

• Istallate soluzioni EDR e anti APT. Abilitate le funzioni di threat detection per analizzare le minacce e risolvere gli incidenti nel minor tempo possibile. Sfruttate le risorse di threat intelligence più avanzate e curandovi di aggiornarle ad ogni nuova patch rilasciata

• Formare il personale

• Eseguite una scansione antivirus (con il software aggiornato) prima di scaricare qualsiasi cosa da Internet

• Applicate il principio del privilegio minimo. Questo può impedire l’esecuzione dell’eseguibile o limitare la sua propagazione.

• Inabilitare le macro degli allegati delle e-mail.

• Non esponete la connessione Remote Desktop Protocol, usate la mediazione di una VPN.

Per tutte le organizzazioni che oggi si affacciano sul mondo digitale e che quindi sono più o meno esposte al rischio di infezioni ransomware noi raccomandiamo sempre di eseguire correttamente e periodicamente dei check-up di sicurezza dei sistemi informatici: i Vulnerability Assessment.

Solo il monitoraggio minuzioso del sistema informatico e delle sue componenti può supportare l’organizzazione nel prevenire attacchi ransomware di questo tipo. Inoltre, anche un sistema di patch management può aiutare l’azienda ad intervenire per sistemare tutte le vulnerabilità hardware e software presenti.

Il gruppo ransomware BlackCat è sicuramente un innovatore nel suo campo.

Ha creato un codice facilmente personalizzabile che è risultato vincente nell’attaccare molte realtà aziendali ma non solo.
Non si sa ancora molto di questo gruppo, il cui successo è innegabile, ma questa situazione, ancora una volta non fa che ricordare a tutti gli imprenditori come la sicurezza informatica sia oramai una necessità per ogni impresa in qualsiasi settore essa operi.