Что такое вымогатель BlackCat в криптовалюте?

Рост атак криптовымогателей

Как опытный специалист по кибербезопасности с более чем двадцатилетним опытом работы за плечами, я могу с уверенностью сказать, что меняющаяся ситуация с атаками программ-вымогателей просто захватывает дух – или, лучше сказать, душераздирающе? Случай с программой-вымогателем BlackCat вызывает особую тревогу из-за ее быстрого масштабирования и разнообразия целей.

Атаки программ-вымогателей продолжают преследовать мир криптовалют, и одним из наиболее заметных игроков является группа BlackCat.

В настоящее время атаки программ-вымогателей часто сосредотачиваются на цифровых валютах, таких как криптовалюты. Привлекательность криптовалюты заключается в ее анонимности и отсутствии центральной власти, что делает ее привлекательной для киберпреступников. Все больше и больше этих преступников привлекает относительная анонимность, обеспечиваемая криптовалютными транзакциями, и их удобство для перемещения средств через границы.

В 2024 году произошел тревожный рост количества и интенсивности атак программ-вымогателей: такие группы, как BlackCat, воспользовались их характеристиками, запрашивая платежи в криптовалюте. Это усложняет правоохранительным органам задачу по отслеживанию и возврату украденных средств.

Отчет Chainaанализа о киберпреступности в сфере криптовалют указывает на эту растущую тенденцию:

• По состоянию на середину 2024 года в 2024 году было зафиксировано выплат 1,9 миллиарда долларов США за программы-вымогатели, что на 80% больше, чем в предыдущем году.
• В 2024 году средний размер требования о выкупе вырос на 30%, достигнув почти 6 миллионов долларов за атаку.

По моему анализу, не только крупные корпорации, такие как MGM Resorts или UnitedHealth, подвергаются требованиям выкупа в криптовалютах на миллионы долларов. Индивидуальные инвесторы также оказываются под прицелом. Эти киберпреступники используют все более сложные стратегии, такие как двойное вымогательство, при котором они не только шифруют данные, но и угрожают раскрыть конфиденциальную информацию, если не будет произведен дополнительный платеж.

Какие стратегии может использовать криптовалютный сектор для противодействия этим сложным атакам? Давайте углубимся в тактику группы вымогателей BlackCat, поймем их методы и рассмотрим потенциальные способы защиты от растущих опасностей в среде блокчейна.

Объяснение атаки вымогателя BlackCat

Программа-вымогатель BlackCat (или, альтернативно, Noberus или ALPHV) — это вредоносное программное обеспечение, разработанное коллективом киберпреступников, говорящих преимущественно по-русски.

BlackCat — это печально известная группа программ-вымогателей, действующая на сервисной основе и часто привлекающая внимание своей деструктивной деятельностью в сфере криптовалют. Эта группа возникла в ноябре 2021 года и с тех пор предприняла атаки на многочисленные организации по всему миру: Reddit стал одной из ее жертв в 2023 году, а Change Healthcare подверглась атаке в 2024 году.

BlackCat, тип программы-вымогателя, использует особый метод работы: он проникает в системы, шифрует данные, а затем запрашивает большие суммы криптовалюты в качестве выкупа за повторный доступ к данным. Что делает BlackCat уникальным среди других программ-вымогателей, так это его сложная конструкция кодирования и адаптируемые стратегии атак, которые часто настраиваются для использования слабостей конкретных целей, что делает его чрезвычайно эффективным.

Первоначально разработанный, BlackCat работал на нескольких платформах, таких как Windows и Linux. Он использовал менее распространенный язык программирования Rust, что давало ему возможность обеспечить высокую адаптивность и скорость процессов шифрования.

К 2024 году BlackCat активизировала свою деятельность, извлекая выгоду из уязвимостей как в корпоративных сетях, так и в криптовалютных системах. В атаках обычно используется двусторонняя стратегия: шифрование данных и кража конфиденциальной информации, а также угрозы опубликовать эту информацию, если не будет заплачен дополнительный выкуп. Такой подход дает группе значительную власть над ее целями.

Одним из пугающих аспектов BlackCat является его уникальный режим работы. Он использует децентрализованную партнерскую систему, что позволяет ему собирать хакеров по всему миру, которые могут координировать и осуществлять атаки по своему желанию. Каждый партнер оснащен настраиваемыми средствами атаки, благодаря чему BlackCat умеет использовать слабости и наносить удары там, где это причиняет максимальный ущерб. По сути, BlackCat обладает способностью точно выявлять уязвимости и причинять боль.

Знаете ли вы? Государственный департамент США предлагает вознаграждение в размере до 10 миллионов долларов за информацию, которая поможет идентифицировать или определить местонахождение лиц, занимающих ключевые руководящие должности в группе, стоящей за атаками с использованием программы-вымогателя BlackCat. .

Как работает программа-вымогатель BlackCat

Программа-вымогатель BlackCat известна своими методичными и стратегическими действиями в области киберпреступности, представляя значительную опасность в цифровом мире.

Вот описание того, как работает программа-вымогатель BlackCat:

• Первоначальный доступ. BlackCat обычно проникает в системы посредством фишинговых писем, кражи учетных данных или использования неисправленных уязвимостей.
• Обеспечение устойчивости. Злоумышленники устанавливают бэкдоры для сохранения доступа и сбора учетных данных для горизонтального перемещения внутри сети.
• Шифрование данных. Используя язык программирования Rust, BlackCat шифрует важные файлы, делая их непригодными для использования без ключа расшифровки.
• Двойное вымогательство. Злоумышленники крадут данные перед их шифрованием, угрожая их утечкой, если выкуп не будет выплачен.
• Требование выкупа. Требуются платежи в криптовалютах, таких как Биткойн (BTC) или Monero (XMR), в размере миллионов долларов, что обеспечивает анонимность злоумышленника.
• Настраиваемые атаки. Партнеры могут адаптировать программы-вымогатели к конкретным жертвам, нацеливаясь на платформы Windows или Linux, используя передовые методы, позволяющие избежать обнаружения.

Жертвы вынуждены платить выкуп с использованием криптовалюты, что обеспечивает анонимность и чрезвычайно затрудняет отслеживание или возврат средств правоохранительным органам. Появление BlackCat служит суровым предупреждением о важности защиты цифровых активов и инфраструктуры от постоянно развивающихся киберугроз, которые сохраняются в криптопространстве.

Слышали ли вы, что BlackCat использует язык программирования Rust, что позволяет ему беспрепятственно работать как на платформах Windows, так и на Linux? Эта универсальность делает его более адаптируемым по сравнению с другими типами программ-вымогателей.

Партнерская модель BlackCat

Филиалы — это киберпреступники-фрилансеры, которые сотрудничают с организацией BlackCat, используя их передовую структуру и ресурсы «программы-вымогатели как услуга».

Успех BlackCat основан на партнерской системе, в которой различные стороны помогают расширять ее влияние повсюду. Позвольте мне объяснить этот процесс:

• Партнерская программа: Киберпреступники регистрируются в программе BlackCat для доступа и распространения полезных данных программ-вымогателей.
• Модель распределения прибыли: Аффилированные лица получают значительную часть любого собранного выкупа, а часть отправляется разработчикам BlackCat.
• Тактика двойного вымогательства. Аффилированные лица часто используют двусторонний подход: шифруют данные и угрожают их утечкой, если не будет выплачен выкуп.
• Настраиваемые полезные нагрузки. BlackCat предоставляет партнерам возможность настраивать программы-вымогатели для конкретных целей, что затрудняет защиту от атак.
• Платежи в криптовалюте. Аффилированные лица требуют выкуп в криптовалюте, что обеспечивает анонимность и чрезвычайно затрудняет отслеживание платежей.

Как аналитик, я могу сказать, что, приняв партнерскую модель, BlackCat ускорила свой рост в геометрической прогрессии, что позволило ей достигать важных целей, охватывающих множество отраслей.

Институциональные атаки с использованием программы-вымогателя BlackCat

Организация BlackCat успешно атаковала известные предприятия, что привело к существенным сбоям в их деятельности и финансах.

Как криптоинвестор, я столкнулся с некоторыми поразительными случаями, которые подчеркивают широкое влияние и интенсивность институциональных атак BlackCat. Вот несколько примечательных примеров:

• Атака группы нефтяных танкеров и Mabanaft: BlackCat атаковала OilTanking Group и Mabanaft в начале 2022 года. В результате атаки были отключены их системы хранения и распределения топлива, что значительно нарушило цепочки поставок в Германии. Хакеры потребовали существенный выкуп за выпуск зашифрованных систем, однако точная сумма не была широко раскрыта (при этом на покупку биткойнов или криптовалюты Monero для осуществления выкупных платежей отводилось 5-7 дней). Сообщений об арестах в связи с этим нападением не поступало. ​
• MGM Resorts и Caesars Entertainment: В сентябре 2023 года BlackCat участвовала в громкой атаке с помощью программы-вымогателя на MGM Resorts International и Caesars Entertainment. Ставки были высоки: изначально Caesars столкнулась со спросом на 30 миллионов долларов в биткойнах, но сумела договориться о снижении до 15 миллионов долларов. Однако MGM Resorts отказалась платить выкуп, что привело к недельным остановкам работы и финансовым потерям в размере 100 миллионов долларов за квартал. Эта атака была осуществлена ​​дочерней компанией BlackCat Scattered Spider, группой американских и британских хакеров.
• Change Healthcare: В начале 2024 года BlackCat атаковала Change Healthcare, дочернюю компанию UnitedHealth Group, что привело к краже конфиденциальных данных пациентов и сбоям в работе. Сообщается, что для восстановления своих систем компания Change Healthcare заплатила выкуп в размере 22 миллионов долларов в биткойнах. Это событие подчеркнуло растущий риск атак с использованием программ-вымогателей в секторе здравоохранения и шаткое положение, в котором находятся компании при борьбе с этими киберпреступниками.

Защита от программы-вымогателя BlackCat

Понимание основных причин и принципов работы программ-вымогателей — первый шаг к защите от них.

Для защиты от программ-вымогателей BlackCat крайне важно избегать ошибок и принимать защитные меры, в том числе:

• Регулярно создавайте резервные копии данных. Частые зашифрованные резервные копии, хранящиеся в автономном режиме, могут стать спасательным кругом, если ваши файлы зашифрованы.
• Создайте надежные протоколы кибербезопасности. Убедитесь, что команда кибербезопасности организации регулярно проводит оценку уязвимостей и применяет протоколы безопасности, такие как многофакторная аутентификация и мониторинг сети. 
• Обучение сотрудников. Команда также должна проводить обучение сотрудников, чтобы каждый понимал и соблюдал передовые методы обеспечения безопасности на официальных рабочих каналах и платформах. 
• Установите антивирусное программное обеспечение. Надежная антивирусная система поможет обнаружить и остановить вредоносное ПО до того, как оно зашифрует ваши файлы.
• Остерегайтесь попыток фишинга. Будьте активны в обнаружении и предотвращении фишинговых писем, которые могут содержать полезные данные программы-вымогателя.
• Используйте системы управления паролями. Регулярное обновление паролей может помешать киберпреступникам получить доступ к учетным записям.
• Сегментируйте свою сеть. Изоляция частей вашей сети может ограничить распространение программ-вымогателей. 

Несмотря на то, что BlackCat находится под давлением со стороны мировых правоохранительных органов, BlackCat продолжает представлять существенный риск в 2024 году. Таким образом, пользователям криптовалюты крайне важно сохранять бдительность, укреплять свою защиту от кибербезопасности и быть в курсе развивающихся угроз со стороны программ-вымогателей.