Amenințarea Cibernetică și Ransomware-ul BlackCat: O Analiză Detaliată
Un atac cibernetic reprezintă o încercare intenționată și malițioasă de a accesa neautorizat un sistem informatic sau o rețea, exploatând vulnerabilități existente. Scopul principal al acestor atacuri este de a sustrage date confidențiale și de a perturba funcționarea normală a sistemelor.
În ultima perioadă, ransomware-ul a devenit instrumentul preferat al infractorilor cibernetici. Această formă de atac se răspândește prin diverse metode, cum ar fi email-urile de tip phishing, descărcări automate de pe site-uri compromise, software piratat și prin exploatarea protocoalelor de acces la distanță.
Odată ce un calculator este infectat cu ransomware, acesta criptează fișierele esențiale. Ulterior, atacatorii solicită o sumă de bani, o răscumpărare, pentru a restabili accesul la datele criptate.
Atacurile cibernetice pot compromite securitatea națională, pot paraliza sectoare economice critice și pot provoca daune financiare semnificative. Un exemplu elocvent este atacul ransomware WannaCry.
Pe 12 mai 2017, ransomware-ul WannaCry, suspectat a proveni din Coreea de Nord, s-a răspândit global, infectând peste 200.000 de sisteme din peste 150 de țări în mai puțin de două zile. WannaCry a vizat sistemele care rulează pe Windows, exploatând o vulnerabilitate în protocolul de blocare a mesajelor serverului.
Una dintre cele mai afectate victime a fost Serviciul Național de Sănătate al Regatului Unit (NHS). Peste 70.000 de dispozitive, inclusiv computere, echipamente de diagnostic și scanere RMN, au fost infectate. Personalul medical nu a putut accesa sistemele și înregistrările pacienților, ceea ce a afectat grav îngrijirea acestora. Acest atac a cauzat NHS pierderi de aproximativ 100 de milioane de dolari.
Din nefericire, situația poate deveni și mai gravă, mai ales când intră în scenă un ransomware nou și mai periculos, cum ar fi BlackCat, care lasă în urmă o serie de victime.
BlackCat Ransomware
BlackCat, cunoscut și sub numele de ALPHV de către dezvoltatorii săi, este un software malițios care, odată ce infectează un sistem, sustrage și criptează datele. Exfiltrarea constă în copierea și transferul datelor stocate într-un sistem. După ce a exfiltrat și criptat datele critice, BlackCat solicită o răscumpărare plătibilă în criptomonedă. Victimele BlackCat trebuie să plătească răscumpărarea pentru a recupera accesul la datele lor.
BlackCat se distinge de ransomware-ul obișnuit prin faptul că este primul ransomware de succes scris în limbajul Rust, spre deosebire de alte ransomware-uri, care sunt create în limbaje precum C, C++, C#, Java sau Python. De asemenea, BlackCat a fost prima familie de ransomware care a avut un site web public unde a divulgat informațiile sustrase din atacuri.
O altă caracteristică distinctivă este că BlackCat funcționează ca Ransomware ca serviciu (RaaS). RaaS este un model de afaceri cibernetic în care creatorii de ransomware închiriază sau vând ransomware-ul lor altor persoane sau grupuri.
În acest model, creatorii oferă toate instrumentele și infrastructura necesare pentru a desfășura atacuri ransomware, în schimbul unei părți din profiturile obținute din plățile de răscumpărare.
Acest aspect explică de ce BlackCat vizează în principal organizații și companii, deoarece acestea sunt, de regulă, mai dispuse să plătească răscumpărarea comparativ cu persoanele fizice. De asemenea, organizațiile plătesc sume mai mari ca răscumpărare. Persoanele care ghidează și iau decizii în cadrul atacurilor cibernetice sunt cunoscute ca actori ai amenințărilor cibernetice (CTA).
Pentru a obliga victimele să plătească, BlackCat utilizează tehnica „triplă extorcare”, care presupune copierea și transferul datelor, criptarea sistemelor și amenințarea cu publicarea datelor sau cu atacuri de tip „refuz de serviciu” (DoS). Nerespectarea cerințelor duce la divulgarea informațiilor către public și/sau la atacuri asupra sistemelor.
În cele din urmă, persoanele afectate de scurgerea de date sunt contactate și informate că datele lor vor fi dezvăluite. Acestea sunt, de obicei, clienți, angajați și alte companii afiliate. Scopul este de a presa organizațiile victimă să plătească răscumpărarea pentru a evita pierderea reputației și litigiile rezultate.
Cum Acționează BlackCat Ransomware
Conform unui avertisment publicat de FBI, BlackCat utilizează date de autentificare compromise pentru a obține acces la sisteme.
Odată ce pătrunde în sistem, BlackCat compromite conturile de utilizator și administrator stocate în Active Directory. Acest lucru îi permite să utilizeze Windows Task Scheduler pentru a configura obiecte de politică de grup (GPO) malițioase, care permit implementarea ransomware-ului pentru a cripta fișierele.
În timpul unui atac, sunt folosite scripturi PowerShell împreună cu Cobalt Strike pentru a dezactiva funcțiile de securitate din rețeaua victimei. Apoi, datele sunt sustrase din diverse locații, inclusiv din furnizorii de cloud. În final, este implementat ransomware-ul pentru a cripta datele din sistemul victimei.
Victimele primesc o notificare de răscumpărare care le informează că sistemele lor au fost atacate și fișierele importante au fost criptate, oferind și instrucțiuni despre cum să plătească răscumpărarea.
De Ce Este BlackCat Mai Periculos Decât Alte Ransomware-uri?
BlackCat este mai periculos datorită mai multor factori:
Este Scris în Rust
Rust este un limbaj de programare rapid și sigur, care oferă performanțe înalte și un management eficient al memoriei. Utilizând Rust, BlackCat beneficiază de aceste avantaje, devenind un ransomware complex și eficient, cu capacități rapide de criptare. De asemenea, este dificil de a efectua inginerie inversă asupra sa. Rust este un limbaj multiplatformă, ceea ce permite atacatorilor să personalizeze BlackCat pentru a viza diferite sisteme de operare, cum ar fi Windows și Linux, extinzând gama de victime.
Utilizează Modelul de Afaceri RaaS
Modelul RaaS permite multor atacatori să implementeze ransomware complex fără a avea cunoștințe despre crearea unuia. BlackCat oferă toate resursele necesare, permițând atacatorilor să îl implementeze într-un sistem vulnerabil. Acest lucru face ca atacurile ransomware sofisticate să fie ușor de efectuat.
Oferă Plăți Mari Afiliaților
Creatorii BlackCat câștigă bani prin perceperea unui comision din răscumpărările plătite de victime. Spre deosebire de alte programe Raas, care iau până la 30%, BlackCat le permite afiliaților să păstreze între 80% și 90% din răscumpărare. Acest lucru crește atractivitatea BlackCat, atrăgând mai mulți afiliați dispuși să îl implementeze în atacuri cibernetice.
Are un Site Public de Scurgeri
Spre deosebire de alte ransomware-uri care divulgă informații sustrase în dark web, BlackCat le publică pe un site web accesibil publicului larg. Acest lucru amplifică impactul atacului și exercită o presiune suplimentară asupra victimelor pentru a plăti răscumpărarea.
Limbajul de programare Rust face ca BlackCat să fie foarte eficient, iar modelul RaaS și plățile mari atrag mulți actori ai amenințărilor.
Lanțul de Infecție BlackCat Ransomware
BlackCat obține accesul inițial la un sistem utilizând acreditări compromise sau exploatând vulnerabilități Microsoft Exchange Server. După ce pătrund într-un sistem, actorii rău intenționați dezactivează sistemele de securitate și adună informații despre rețea, extinzându-și privilegiile.
Ransomware-ul se răspândește apoi lateral în rețea, obținând acces la cât mai multe sisteme posibile. Acest lucru este important în timpul solicitării răscumpărării, deoarece cu cât sunt atacate mai multe sisteme, cu atât este mai mare probabilitatea ca victima să plătească.
Actorii rău intenționați sustrag datele care urmează să fie folosite în extorcare. Odată ce datele critice au fost extrase, se pregătește scena pentru implementarea BlackCat.
BlackCat este implementat utilizând Rust. Mai întâi, oprește serviciile precum backup-urile, aplicațiile antivirus, serviciile de Internet Windows și mașinile virtuale. Apoi, criptează fișierele și înlocuiește imaginea de fundal a sistemului cu o notificare de răscumpărare.
Cum Să Vă Protejați De BlackCat Ransomware
Deși BlackCat este mai periculos decât alte tipuri de ransomware, există metode prin care organizațiile se pot proteja:
Criptați Datele Critice
Tehnica de extorcare a lui BlackHat implică amenințarea cu divulgarea datelor. Criptând datele esențiale, organizațiile adaugă un strat de protecție, paralizând astfel tehnicile de extorcare folosite de atacatori. Chiar dacă datele sunt divulgate, nu vor fi într-un format lizibil.
Actualizați Regulament Sistemele
Cercetările Microsoft au arătat că BlackCat a exploatat servere de schimb neactualizate. Companiile de software lansează actualizări pentru a corecta vulnerabilitățile. Instalați aceste corecții imediat ce sunt disponibile.
Efectuați Backup Într-o Locație Sigură
Organizațiile ar trebui să efectueze periodic copii de rezervă ale datelor și să le stocheze într-o locație offline, separată și sigură. Acest lucru asigură că, chiar dacă datele sunt criptate, ele pot fi recuperate din backup-uri.
Implementați Autentificarea Multi-Factor
Pe lângă utilizarea parolelor puternice, implementați autentificarea multi-factor, care necesită acreditări multiple pentru a accesa un sistem. Acest lucru se poate face prin configurarea sistemului pentru a genera o parolă unică trimisă la un telefon sau e-mail.
Monitorizați Activitatea În Rețea și Fișierele
Organizațiile ar trebui să monitorizeze constant activitatea din rețele pentru a detecta și răspunde rapid la activitățile suspecte. Activitățile dintr-o rețea trebuie înregistrate și revizuite de experți în securitate pentru a identifica potențialele amenințări. De asemenea, trebuie implementate sisteme pentru a monitoriza accesul la fișiere, cine le accesează și cum sunt utilizate.
Prin criptarea datelor, actualizarea sistemelor, efectuarea de backup-uri, implementarea autentificării multi-factor și monitorizarea activității, organizațiile pot preveni atacurile BlackCat.
Resurse de Învățare: Ransomware
Pentru a afla mai multe despre atacurile cibernetice și cum să vă protejați de ransomware precum BlackCat, vă recomandăm următoarele cursuri și cărți:
#1. Instruirea de Conștientizare a Securității
Acest curs este ideal pentru oricine dorește să fie în siguranță pe internet. Este oferit de Dr. Michael Biocchi, un profesionist certificat în securitatea sistemelor informaționale (CISSP). Cursul acoperă phishing-ul, ingineria socială, scurgerile de date, parolele, navigarea sigură și dispozitivele personale, oferind sfaturi generale despre cum să vă mențineți în siguranță online. Este actualizat în mod regulat.
#2. Securitatea pe Internet Pentru Angajați
Acest curs este adaptat utilizatorilor de internet și își propune să îi educe cu privire la amenințările de securitate și cum să se protejeze. Este oferit de Roy Davis, un expert în securitatea informațiilor certificat CISSP. Cursul acoperă responsabilitatea utilizatorilor și dispozitivelor, phishing-ul, ingineria socială, gestionarea datelor, parolele, navigarea în siguranță, dispozitivele mobile și ransomware. La finalizarea cursului, se oferă un certificat.
#3. Securitate Cibernetică Pentru Începători
Acesta este un curs Udemy oferit de Usman Ashraf de la Logix Academy, un startup de training și certificări. Usman este certificat CISSP și are un doctorat în rețele de calculatoare. Cursul oferă o analiză detaliată a ingineriei sociale, parolelor, eliminării securizate a datelor, rețelelor private virtuale (VPN), malware, ransomware și navigare sigură. Cursul este non-tehnic.
#4. Ransomware Dezvăluit
Aceasta este o carte scrisă de Nihad A. Hassan, un consultant în securitate a informațiilor, expert în securitate cibernetică și criminalistică digitală. Cartea învață cum să atenuați și să gestionați atacurile ransomware. Oferă o privire detaliată asupra diferitelor tipuri de ransomware, strategiile de distribuție și metodele de recuperare. De asemenea, acoperă pașii de urmat în caz de infecție, inclusiv cum să plătiți răscumpărări, să efectuați backup-uri și cum să căutați instrumente de decriptare.
#5. Ransomware: Înțelegeți. Împiedicați. Recuperați.
În această carte, Allan Liska, un specialist în ransomware de la Recorded Future, răspunde la întrebările despre ransomware. Cartea oferă un context istoric al răspândirii ransomware-ului, cum să opriți atacurile, vulnerabilitățile vizate și un ghid pentru supraviețuirea unui atac cu daune minime. De asemenea, răspunde la întrebarea dacă ar trebui să plătiți răscumpărarea.
#6. Ghid de Protecție Împotriva Ransomware-ului
Această carte este o citire esențială pentru oricine dorește să se protejeze de ransomware. Roger A. Grimes, expert în securitate, oferă experiența și cunoștințele sale pentru a ajuta oamenii și organizațiile să se apere împotriva ransomware-ului. Cartea oferă un plan acționabil pentru organizații, învață cum să detectați un atac, să limitați daunele și să determinați dacă să plătiți sau nu răscumpărarea, oferind un plan pentru a limita daunele cauzate de încălcări grave de securitate.
Nota Autorului
BlackCat este un ransomware inovator care va schimba modul în care abordăm securitatea cibernetică. În martie 2022, a atacat peste 60 de organizații și a atras atenția FBI. BlackCat este o amenințare serioasă pe care nicio organizație nu își permite să o ignore.
Prin utilizarea unui limbaj de programare modern și metode neconvenționale de atac, criptare și extorcare, BlackCat i-a pus la încercare pe experții în securitate. Totuși, lupta împotriva acestui ransomware nu este pierdută. Prin implementarea strategiilor descrise și minimizarea erorilor umane, organizațiile se pot proteja de atacul BlackCat.