ALPHV Blackcat
ALPHV, noto anche con il nome di BlackCat o Noberus, è un ceppo di ransomware utilizzato nelle operazioni di Ransomware as a Service (RaaS).
L'origine di ALPHV BlackCat
Sviluppato utilizzando il linguaggio di programmazione Rust, ALPHV può essere eseguito su diversi sistemi operativi, tra cui Windows, Linux (Debian, Ubuntu, ReadyNAS, Synology) e VMWare ESXi.
Sui forum di criminalità informatica viene commercializzato con il nome di ALPHV, anche se i ricercatori di sicurezza si riferiscono spesso ad esso come BlackCat, in riferimento all'icona del gatto nero visualizzata sul suo sito di fuga di notizie.
Dalla sua prima implementazione osservata in attacchi ransomware il 18 novembre 2021, ALPHV ha dimostrato versatilità nelle sue capacità di crittografia, supportando sia l'algoritmo AES che ChaCha20.
Per garantire la massima interruzione, ALPHV può eliminare le copie shadow dei volumi, terminare processi e servizi e arrestare le macchine virtuali sui server ESXi.
Inoltre, ha la capacità di autopropagarsi attraverso le reti locali utilizzando PsExec per l'esecuzione in remoto su altri host.
ALPHV Blackcat è stato interrotto dall'FBI nel dicembre 2023.
Obiettivi
Obiettivi di ALPHV
Paesi destinatari di ALPHV
ALPHV Blackcat si è rivolto soprattutto agli Stati Uniti, seguiti dalla Germania e da altri Paesi europei come Francia, Spagna e Paesi Bassi.
Fonte: Palo Alto
Industrie interessate da ALPHV
I ricercatori hanno esaminato oltre 210 annunci relativi al ransomware BlackCat, scoprendo che i settori "Servizi professionali, scientifici e tecnici" e "Manifatturiero" sono i suoi principali obiettivi, con gli studi legali e i servizi giuridici che sono i più colpiti all'interno del settore dei servizi professionali.
Fonte: SOCradar
Industrie interessate da ALPHV
I ricercatori hanno esaminato oltre 210 annunci relativi al ransomware BlackCat, scoprendo che i settori "Servizi professionali, scientifici e tecnici" e "Manifatturiero" sono i suoi principali obiettivi, con gli studi legali e i servizi giuridici che sono i più colpiti all'interno del settore dei servizi professionali.
Fonte: SOCradar
ALPHV Blackcat vittime
Ad oggi, più di 724 vittime sono state vittime delle operazioni malevole di ALPHV.
Fonte: ransomware.live
Metodo di attacco
Metodo di attacco di ALPHV Blackcat
ALPHV si rivolge principalmente alle vulnerabilità delle applicazioni rivolte al pubblico, sfruttando probabilmente queste falle per infiltrarsi nei sistemi di rete. In alcuni casi, utilizza anche account di dominio legittimi, che possono essere ottenuti attraverso precedenti violazioni o furti di credenziali, per prendere piede nella rete.
Una volta all'interno della rete, ALPHV aumenta i propri privilegi sfruttando gli stessi account di dominio validi, concedendosi livelli di accesso più elevati, tipicamente riservati agli amministratori. Questa escalation è fondamentale per approfondire il controllo sul sistema. In termini di esecuzione, ALPHV utilizza la Command Shell di Windows per eseguire comandi e script dannosi, che facilitano la distribuzione e la propagazione del ransomware.
Per eludere il rilevamento e ostacolare le risposte difensive, ALPHV disabilita o modifica attivamente gli strumenti di sicurezza che potrebbero rilevare o bloccare le sue attività, tra cui l'interruzione dei programmi antivirus e la disattivazione dei servizi di sicurezza, creando un ambiente più permissivo per le sue operazioni.
L'impatto di ALPHV sui sistemi compromessi è grave: cripta i dati critici utilizzando robusti algoritmi di crittografia, rendendo i file inaccessibili agli utenti. Inoltre, compromette gli sforzi di ripristino del sistema eliminando le copie shadow e disabilitando gli strumenti di ripristino, il che aggrava l'interruzione causata e spinge le vittime a soddisfare le richieste di riscatto per ripristinare l'accesso ai loro dati.
Accesso iniziale
ALPHV si rivolge principalmente alle vulnerabilità delle applicazioni rivolte al pubblico, sfruttando probabilmente queste falle per infiltrarsi nei sistemi di rete. In alcuni casi, utilizza anche account di dominio legittimi, che possono essere ottenuti attraverso precedenti violazioni o furti di credenziali, per prendere piede nella rete.
Escalation dei privilegi
Una volta all'interno della rete, ALPHV aumenta i propri privilegi sfruttando gli stessi account di dominio validi, concedendosi livelli di accesso più elevati, tipicamente riservati agli amministratori. Questa escalation è fondamentale per approfondire il controllo sul sistema. In termini di esecuzione, ALPHV utilizza la Command Shell di Windows per eseguire comandi e script dannosi, che facilitano la distribuzione e la propagazione del ransomware.
Difesa Evasione
Per eludere il rilevamento e ostacolare le risposte difensive, ALPHV disabilita o modifica attivamente gli strumenti di sicurezza che potrebbero rilevare o bloccare le sue attività, tra cui l'interruzione dei programmi antivirus e la disattivazione dei servizi di sicurezza, creando un ambiente più permissivo per le sue operazioni.
Accesso alle credenziali
Scoperta
Movimento laterale
Collezione
Esecuzione
Esfiltrazione
Impatto
L'impatto di ALPHV sui sistemi compromessi è grave: cripta i dati critici utilizzando robusti algoritmi di crittografia, rendendo i file inaccessibili agli utenti. Inoltre, compromette gli sforzi di ripristino del sistema eliminando le copie shadow e disabilitando gli strumenti di ripristino, il che aggrava l'interruzione causata e spinge le vittime a soddisfare le richieste di riscatto per ripristinare l'accesso ai loro dati.
MITRE ATT&CK Mappatura
TTP utilizzati da ALPHV
ALPHV mostra un approccio metodico e sfaccettato ai suoi attacchi ransomware, garantendo l'efficacia in varie fasi del ciclo di intrusione.
TA0001: Initial Access
T1190
Exploit Public-Facing Application
T1078
Valid Accounts
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1078
Valid Accounts
TA0004: Privilege Escalation
T1078
Valid Accounts
TA0005: Defense Evasion
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1558
Steal or Forge Kerberos Tickets
T1555
Credentials from Password Stores
T1552
Unsecured Credentials
TA0007: Discovery
No items found.
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
No items found.
TA0040: Impact
T1490
Inhibit System Recovery
T1657
Financial Theft
T1486
Data Encrypted for Impact
Rilevamenti della piattaforma
Come rilevare l'ALPHV con Vectra AI
DOMANDE FREQUENTI
Che cos'è l'ALPHV BlackCat?
ALPHV BlackCat, noto anche come Noberus, è una sofisticata variante di ransomware scritta in Rust, utilizzata nelle operazioni di Ransomware as a Service (RaaS). È in grado di colpire diversi sistemi operativi, tra cui Windows, Linux e VMWare ESXi.
In che modo ALPHV BlackCat ottiene l'accesso iniziale a una rete?
ALPHV BlackCat ottiene tipicamente l'accesso iniziale attraverso exploit in applicazioni rivolte al pubblico o utilizzando account di dominio validi che potrebbero essere stati compromessi.
Quali sono gli obiettivi principali di ALPHV BlackCat?
ALPHV BlackCat si rivolge principalmente a settori quali i servizi professionali, scientifici e tecnici e l'industria manifatturiera, con un'attenzione particolare agli studi legali e ai servizi legali nel settore professionale.
Quali algoritmi di crittografia utilizza ALPHV BlackCat?
ALPHV BlackCat può essere configurato per utilizzare gli algoritmi di crittografia AES o ChaCha20 per bloccare i dati delle vittime.
Come fa ALPHV BlackCat a eludere il rilevamento?
Il ransomware impiega varie tecniche per eludere il rilevamento, tra cui la disabilitazione degli strumenti di sicurezza e la modifica dei processi di sistema per ostacolare le misure di difesa.
Cosa possono fare le organizzazioni per proteggersi dagli attacchi ALPHV BlackCat?
Le organizzazioni dovrebbero implementare solide misure di sicurezza, tra cui l'applicazione regolare di patch, l'utilizzo di una protezione avanzata endpoint , la formazione dei dipendenti in materia di sicurezza e l'implementazione di una piattaforma di rilevamento delle minacce guidata dall'intelligenza artificiale, come Vectra AI , per rilevare e rispondere alle minacce in modo più efficace.
Qual è l'impatto di ALPHV BlackCat sui sistemi interessati?
L'impatto di ALPHV BlackCat comprende la crittografia di file importanti, l'eliminazione delle copie ombra dei volumi e l'arresto di servizi critici e macchine virtuali per massimizzare l'interruzione e spingere le vittime a pagare il riscatto.
ALPHV BlackCat ha capacità di autopropagazione?
Sì, ALPHV BlackCat può autopropagarsi all'interno di una rete utilizzando strumenti come PsExec per eseguire in remoto su altri host della rete locale.
Come devono rispondere i team IT a un'infezione da ALPHV BlackCat?
L'isolamento immediato dei sistemi colpiti, l'identificazione e la revoca delle credenziali compromesse, l'eliminazione della presenza del ransomware e il ripristino dai backup sono passi fondamentali, insieme a un'indagine approfondita per prevenire future violazioni.
Quale ruolo svolge il rilevamento delle minacce guidato dall'intelligenza artificiale nella lotta contro l'ALPHV BlackCat?
Le piattaforme di rilevamento delle minacce basate sull'intelligenza artificiale, come Vectra AI, svolgono un ruolo cruciale nell'identificazione di segnali impercettibili delle attività di ALPHV BlackCat e di altre minacce sofisticate, analizzando schemi e anomalie che indicano comportamenti dannosi, consentendo risposte più rapide ed efficaci.