ALPHV Blackcat
ALPHV, noto anche con il nome di BlackCat o Noberus, era un tipo di ransomware utilizzato nelle operazioni Ransomware as a Service (RaaS).
L'origine di ALPHV BlackCat
Sviluppato utilizzando il linguaggio di programmazione Rust, ALPHV può essere eseguito su vari sistemi operativi, tra cui Windows, Linux (Debian, Ubuntu, ReadyNAS, Synology) e VMWare ESXi.
È commercializzato con il nome ALPHV sui forum dedicati alla criminalità informatica, anche se i ricercatori nel campo della sicurezza spesso lo chiamano BlackCat, in riferimento all'icona del gatto nero visualizzata sul suo sito di divulgazione.
Sin dal suo primo utilizzo osservato negli attacchi ransomware del 18 novembre 2021, ALPHV ha dimostrato versatilità nelle sue capacità di crittografia, supportando sia l'algoritmo AES che ChaCha20.
Per garantire il massimo disturbo, ALPHV può eliminare le copie shadow del volume, terminare processi e servizi e spegnere le macchine virtuali sui server ESXi.
Inoltre, è in grado di propagarsi autonomamente attraverso le reti locali utilizzando PsExec per eseguire operazioni in remoto su altri host.
ALPHV Blackcat smantellato dall'FBI nel dicembre 2023.
Paesi presi di mira da ALPHV
ALPHV Blackcat ha preso di mira Blackcat gli Stati Uniti, seguiti dalla Germania e da altri paesi europei come Francia, Spagna e Paesi Bassi.
Settori presi di mira da ALPHV
I ricercatori hanno esaminato oltre 210 annunci relativi al ransomware BlackCat, scoprendo che i settori "Servizi professionali, scientifici e tecnici" e "Produzione" sono i suoi obiettivi principali, con gli studi legali e i servizi legali che sono i più colpiti all'interno del settore dei servizi professionali.
Fonte: SOCradar
Le vittime Blackcat ALPHV Blackcat
Il metodo di attacco Blackcat ALPHV Blackcat
ALPHV prende di mira principalmente le vulnerabilità delle applicazioni pubbliche, sfruttando probabilmente tali falle per infiltrarsi nei sistemi di rete. In alcuni casi, utilizza anche account di dominio legittimi, ottenuti tramite precedenti violazioni o furti di credenziali, per ottenere un punto d'appoggio nella rete.
Una volta all'interno della rete, ALPHV aumenta i propri privilegi sfruttando questi stessi account di dominio validi, concedendosi livelli di accesso più elevati che sono tipicamente riservati agli amministratori. Questo aumento è fondamentale per rafforzare il proprio controllo sul sistema. In termini di esecuzione, ALPHV utilizza la shell di comando di Windows per eseguire comandi e script dannosi, che facilitano la distribuzione e la propagazione del ransomware.
Per eludere il rilevamento e ostacolare le risposte difensive, ALPHV disattiva o modifica attivamente gli strumenti di sicurezza che potrebbero rilevare o bloccare le sue attività. Ciò include la chiusura dei programmi antivirus e la disattivazione dei servizi di sicurezza, creando un ambiente più permissivo per le sue operazioni.
L'impatto di ALPHV sui sistemi compromessi è grave: crittografa i dati critici utilizzando robusti algoritmi di crittografia, che rendono i file inaccessibili agli utenti. Inoltre, compromette gli sforzi di ripristino del sistema eliminando le copie shadow e disabilitando gli strumenti di ripristino, il che aggrava il disservizio causato e spinge le vittime a soddisfare le richieste di riscatto per ripristinare l'accesso ai propri dati.
ALPHV prende di mira principalmente le vulnerabilità delle applicazioni pubbliche, sfruttando probabilmente tali falle per infiltrarsi nei sistemi di rete. In alcuni casi, utilizza anche account di dominio legittimi, ottenuti tramite precedenti violazioni o furti di credenziali, per ottenere un punto d'appoggio nella rete.
Una volta all'interno della rete, ALPHV aumenta i propri privilegi sfruttando questi stessi account di dominio validi, concedendosi livelli di accesso più elevati che sono tipicamente riservati agli amministratori. Questo aumento è fondamentale per rafforzare il proprio controllo sul sistema. In termini di esecuzione, ALPHV utilizza la shell di comando di Windows per eseguire comandi e script dannosi, che facilitano la distribuzione e la propagazione del ransomware.
Per eludere il rilevamento e ostacolare le risposte difensive, ALPHV disattiva o modifica attivamente gli strumenti di sicurezza che potrebbero rilevare o bloccare le sue attività. Ciò include la chiusura dei programmi antivirus e la disattivazione dei servizi di sicurezza, creando un ambiente più permissivo per le sue operazioni.
L'impatto di ALPHV sui sistemi compromessi è grave: crittografa i dati critici utilizzando robusti algoritmi di crittografia, che rendono i file inaccessibili agli utenti. Inoltre, compromette gli sforzi di ripristino del sistema eliminando le copie shadow e disabilitando gli strumenti di ripristino, il che aggrava il disservizio causato e spinge le vittime a soddisfare le richieste di riscatto per ripristinare l'accesso ai propri dati.
TTP utilizzati da ALPHV
Come rilevare ALPHV con Vectra AI
Domande frequenti
Cos'è ALPHV BlackCat?
ALPHV BlackCat, noto anche come Noberus, è una sofisticata variante di ransomware scritta in Rust, utilizzata nelle operazioni Ransomware as a Service (RaaS). È in grado di colpire diversi sistemi operativi, tra cui Windows, Linux e VMWare ESXi.
In che modo ALPHV BlackCat ottiene l'accesso iniziale a una rete?
ALPHV BlackCat ottiene solitamente l'accesso iniziale tramite exploit in applicazioni pubbliche o utilizzando account di dominio validi che potrebbero essere stati compromessi.
Quali sono gli obiettivi principali di ALPHV BlackCat?
ALPHV BlackCat si rivolge principalmente a settori quali i servizi professionali, scientifici e tecnici e l'industria manifatturiera, con particolare attenzione agli studi legali e ai servizi legali nel settore professionale.
Quali algoritmi di crittografia utilizza ALPHV BlackCat?
ALPHV BlackCat può essere configurato per utilizzare algoritmi di crittografia AES o ChaCha20 per bloccare i dati delle vittime.
In che modo ALPHV BlackCat elude il rilevamento?
Il ransomware utilizza varie tecniche per eludere il rilevamento, tra cui la disattivazione degli strumenti di sicurezza e la modifica dei processi di sistema per ostacolare le misure difensive.
Cosa possono fare le organizzazioni per proteggersi dagli attacchi ALPHV BlackCat?
Le organizzazioni dovrebbero implementare misure di sicurezza robuste, tra cui l'applicazione regolare di patch, l'utilizzo endpoint avanzate endpoint , la formazione dei dipendenti in materia di sicurezza e l'implementazione di una piattaforma di rilevamento delle minacce basata sull'intelligenza artificiale come Vectra AI rilevare e rispondere alle minacce in modo più efficace.
In che modo ALPHV BlackCat influisce sui sistemi colpiti?
L'impatto di ALPHV BlackCat include la crittografia di file importanti, l'eliminazione delle copie shadow del volume e l'interruzione di servizi critici e macchine virtuali per massimizzare il disagio e spingere le vittime a pagare il riscatto.
ALPHV BlackCat ha capacità di autopropagazione?
Sì, ALPHV BlackCat può auto-propagarsi all'interno di una rete utilizzando strumenti come PsExec per eseguire operazioni in remoto su altri host nella rete locale.
Come dovrebbero reagire i team IT a un'infezione da ALPHV BlackCat?
L'isolamento immediato dei sistemi colpiti, l'identificazione e la revoca delle credenziali compromesse, l'eliminazione del ransomware e il ripristino dai backup sono passaggi fondamentali, insieme a un'indagine approfondita per prevenire future violazioni.
Che ruolo svolge il rilevamento delle minacce basato sull'intelligenza artificiale nella lotta contro ALPHV BlackCat?
Le piattaforme di rilevamento delle minacce basate sull'intelligenza artificiale, come Vectra AI, svolgono un ruolo cruciale nell'identificazione dei segni sottili delle attività di ALPHV BlackCat e di altre minacce sofisticate, analizzando modelli e anomalie che indicano comportamenti dannosi e consentendo risposte più rapide ed efficaci.