ALPHV Blackcat
ALPHV, noto anche con il nome di BlackCat o Noberus, era una variante di ransomware utilizzata nelle operazioni di tipo "Ransomware as a Service" (RaaS).
L'origine di ALPHV BlackCat
Sviluppato utilizzando il linguaggio di programmazione Rust, ALPHV è in grado di funzionare su diversi sistemi operativi, tra cui Windows, Linux (Debian, Ubuntu, ReadyNAS, Synology) e VMWare ESXi.
Viene commercializzato con il nome di ALPHV sui forum dedicati alla criminalità informatica, anche se i ricercatori nel campo della sicurezza lo chiamano spesso BlackCat, in riferimento all'icona del gatto nero che compare sul suo sito di divulgazione.
Da quando è stato rilevato per la prima volta in attacchi ransomware il 18 novembre 2021, ALPHV ha dimostrato una grande versatilità nelle sue capacità di crittografia, supportando sia l'algoritmo AES che quello ChaCha20.
Per garantire il massimo livello di interruzione, ALPHV è in grado di eliminare le copie shadow dei volumi, terminare processi e servizi e spegnere le macchine virtuali sui server ESXi.
Inoltre, è in grado di propagarsi autonomamente sulle reti locali utilizzando PsExec per l'esecuzione in remoto su altri host.
Il gruppo ALPHV Blackcat smantellato dall'FBI nel dicembre 2023.
Paesi colpiti dall'ALPHV
Il virus ALPHV Blackcat ha colpito Blackcat gli Stati Uniti, seguiti dalla Germania e da altri paesi europei come Francia, Spagna e Paesi Bassi.
Settori di riferimento di ALPHV
I ricercatori hanno analizzato oltre 210 segnalazioni relative al ransomware BlackCat, rilevando che i settori "Servizi professionali, scientifici e tecnici" e "Industria manifatturiera" ne costituiscono gli obiettivi principali, mentre, nell'ambito dei servizi professionali, gli studi legali e i servizi legali risultano essere i più colpiti.
Fonte: SOCradar
Le vittime Blackcat ALPHV Blackcat
Metodo di attacco Blackcat ALPHV Blackcat
ALPHV prende di mira principalmente le vulnerabilità delle applicazioni accessibili al pubblico, sfruttando probabilmente tali falle per infiltrarsi nei sistemi di rete. In alcuni casi, utilizza anche account di domini legittimi, che possono essere stati ottenuti tramite precedenti violazioni o furti di credenziali, per ottenere un punto d'appoggio nella rete.
Una volta all'interno della rete, ALPHV aumenta i propri privilegi sfruttando questi stessi account di dominio validi, concedendosi livelli di accesso più elevati, solitamente riservati agli amministratori. Questa escalation è fondamentale per rafforzare il proprio controllo sul sistema. Per quanto riguarda l'esecuzione, ALPHV utilizza la shell di comando di Windows per eseguire comandi e script dannosi, che facilitano la distribuzione e la diffusione del ransomware.
Per eludere il rilevamento e ostacolare le risposte difensive, ALPHV disattiva o modifica attivamente gli strumenti di sicurezza in grado di rilevarne o bloccarne le attività. Ciò comporta la chiusura dei programmi antivirus e la disattivazione dei servizi di sicurezza, creando così un ambiente più permissivo per le proprie operazioni.
L'impatto di ALPHV sui sistemi compromessi è grave: il virus crittografa i dati critici utilizzando algoritmi di crittografia avanzati, rendendo i file inaccessibili agli utenti. Inoltre, ostacola i tentativi di ripristino del sistema cancellando le copie shadow e disabilitando gli strumenti di ripristino, il che aggrava il disagio causato e spinge le vittime a soddisfare le richieste di riscatto per riottenere l'accesso ai propri dati.
ALPHV prende di mira principalmente le vulnerabilità delle applicazioni accessibili al pubblico, sfruttando probabilmente tali falle per infiltrarsi nei sistemi di rete. In alcuni casi, utilizza anche account di domini legittimi, che possono essere stati ottenuti tramite precedenti violazioni o furti di credenziali, per ottenere un punto d'appoggio nella rete.
Una volta all'interno della rete, ALPHV aumenta i propri privilegi sfruttando questi stessi account di dominio validi, concedendosi livelli di accesso più elevati, solitamente riservati agli amministratori. Questa escalation è fondamentale per rafforzare il proprio controllo sul sistema. Per quanto riguarda l'esecuzione, ALPHV utilizza la shell di comando di Windows per eseguire comandi e script dannosi, che facilitano la distribuzione e la diffusione del ransomware.
Per eludere il rilevamento e ostacolare le risposte difensive, ALPHV disattiva o modifica attivamente gli strumenti di sicurezza in grado di rilevarne o bloccarne le attività. Ciò comporta la chiusura dei programmi antivirus e la disattivazione dei servizi di sicurezza, creando così un ambiente più permissivo per le proprie operazioni.
L'impatto di ALPHV sui sistemi compromessi è grave: il virus crittografa i dati critici utilizzando algoritmi di crittografia avanzati, rendendo i file inaccessibili agli utenti. Inoltre, ostacola i tentativi di ripristino del sistema cancellando le copie shadow e disabilitando gli strumenti di ripristino, il che aggrava il disagio causato e spinge le vittime a soddisfare le richieste di riscatto per riottenere l'accesso ai propri dati.
TTP utilizzati dall'ALPHV
Come rilevare l'ALPHV con Vectra AI
Domande frequenti
Che cos'è ALPHV BlackCat?
ALPHV BlackCat, noto anche come Noberus, è una sofisticata variante di ransomware scritta in Rust, utilizzata nelle operazioni di tipo Ransomware as a Service (RaaS). È in grado di colpire diversi sistemi operativi, tra cui Windows, Linux e VMware ESXi.
In che modo ALPHV BlackCat ottiene l'accesso iniziale a una rete?
ALPHV BlackCat ottiene solitamente l'accesso iniziale sfruttando vulnerabilità presenti in applicazioni accessibili al pubblico oppure utilizzando account di dominio validi che potrebbero essere stati compromessi.
Quali sono gli obiettivi principali di ALPHV BlackCat?
ALPHV BlackCat si rivolge principalmente a settori quali i servizi professionali, scientifici e tecnici e l'industria manifatturiera, con un'attenzione particolare agli studi legali e ai servizi legali nell'ambito del settore professionale.
Quali algoritmi di crittografia utilizza ALPHV BlackCat?
ALPHV BlackCat può essere configurato per utilizzare gli algoritmi di crittografia AES o ChaCha20 per bloccare i dati delle vittime.
In che modo ALPHV BlackCat riesce a eludere il rilevamento?
Il ransomware utilizza diverse tecniche per eludere il rilevamento, tra cui la disattivazione degli strumenti di sicurezza e la modifica dei processi di sistema per ostacolare le misure difensive.
Cosa possono fare le organizzazioni per proteggersi dagli attacchi di ALPHV BlackCat?
Le organizzazioni dovrebbero adottare misure di sicurezza efficaci, tra cui l'applicazione regolare delle patch, l'utilizzo endpoint avanzate endpoint , lo svolgimento di corsi di formazione sulla sicurezza per i dipendenti e l'implementazione di una piattaforma di rilevamento delle minacce basata sull'intelligenza artificiale, come Vectra AI individuare e contrastare le minacce in modo più efficace.
In che modo ALPHV BlackCat influisce sui sistemi colpiti?
L'attacco di ALPHV BlackCat comporta la crittografia di file importanti, l'eliminazione delle copie shadow dei volumi e l'arresto di servizi critici e macchine virtuali, al fine di massimizzare il disagio causato e spingere le vittime a pagare il riscatto.
ALPHV BlackCat è in grado di propagarsi autonomamente?
Sì, ALPHV BlackCat è in grado di propagarsi autonomamente all'interno di una rete utilizzando strumenti come PsExec per eseguire operazioni in remoto su altri host della rete locale.
Come dovrebbero reagire i team IT in caso di infezione da ALPHV BlackCat?
L'isolamento immediato dei sistemi colpiti, l'identificazione e la revoca delle credenziali compromesse, l'eliminazione del ransomware e il ripristino dai backup sono misure fondamentali, insieme a un'indagine approfondita volta a prevenire future violazioni.
Che ruolo svolge il rilevamento delle minacce basato sull'intelligenza artificiale nella lotta contro ALPHV BlackCat?
Le piattaforme di rilevamento delle minacce basate sull'intelligenza artificiale, come Vectra AI, svolgono un ruolo fondamentale nell'identificare i segnali più sottili delle attività di ALPHV BlackCat e di altre minacce sofisticate, analizzando modelli e anomalie che indicano comportamenti dannosi e consentendo così risposte più rapide ed efficaci.