BlackMatter ve REvil, yeni bir hizmet olarak fidye yazılımı başlatmak için gölgelerden ortaya çıktı ve halihazırda bir kurumsal kaynak planlama (ERP) hizmet sağlayıcısına ve bir endüstriyel firmaya, yeni bir araştırmaya saldırdı. gösterir.
Uç nokta güvenlik firması Kaspersky, 7 Nisan’da yayınlanan bir ilk analizde ALPHV olarak bilinen grup ve onun BlackCat kötü amaçlı yazılımı şimdiden “çok sayıda kurumsal kurbana” bulaştığını söyledi. Bu fidye yazılımı gruplarının ve altyapılarının uluslararası yayından kaldırılmasını takiben REvil. Kaspersky araştırmacıları, üyelerin en azından bazılarının daha önceki bir grup olan BlackMatter’da rolleri olduğuna dair işaretler tespit etti.
Kaspersky’nin baş güvenlik araştırmacısı Kurt Baumgartner, yeni grup, bağlı kuruluşları ve diğer siber suç hizmetleri arasındaki faaliyetlerin tam olarak bölünmesinin belirsiz olduğunu söylüyor.
“Büyük olasılıkla, küresel BlackCat olaylarının genel seti, hem kodu ve hizmeti sürdüren grubun hem de kendi işlerini yapan bağlı kuruluşların bir karışımı tarafından gerçekleştirilir” diyor. “Bu çalışmaların bir kısmı, bireysel gruplar tarafından gerçekleştirilen erişim aracıları ve penetrasyon çabalarına da ayrılabilir.”
Analiz – ve en azından bazı operatörlerin BlackMatter’ın bir parçası olabileceğine dair güçlü ipucu – fidye yazılımı gruplarının altyapısını kaldırmanın onları tekrar mağaza kurmaktan alıkoymadığını gösteriyor.
ALPHV söz konusu olduğunda Kaspersky araştırmacıları, grubun Fendr adlı ve geçmişte yalnızca BlackMatter tarafından kullanılan özel bir araç kullandığını keşfetti. ALPHV, fidye yazılımı dağıtmadan önce Aralık 2021 ve Ocak 2022’de kurumsal kurbanlardan veri sızdırmak için bu aracı kullandı.
Kaspersky, “Telemetrimiz, yeni BlackCat grubunun en azından bazı üyelerinin BlackMatter grubuyla bağlantıları olduğunu gösteriyor, çünkü onlar Fendr adını verdiğimiz ve yalnızca BlackMatter etkinliğinde gözlemlenen özel bir sızma aracını değiştirip yeniden kullandılar.” tehdit notunda belirtilen. “ExMatter olarak da bilinen bu değiştirilmiş Fendr kullanımı, BlackCat’i geçmiş BlackMatter etkinliğine bağlayan yeni bir veri noktasını temsil ediyor.”
Kötü Amaçlı Yazılım Kodlayıcıları Parlayarak Paslanıyor
Kaspersky, blog yazısında, grubun araçlarını popüler, ancak yine de yaygın olmayan programlama dili Rust’ta yazan birkaç kişiden biri olduğunu ve bu sayede birden fazla platform için araçları hızla derlemelerini sağladığını belirtti. Rust, çapraz derleme nedeniyle grubun Windows ve Linux için bir sürüm yayınlamasına izin verir ve güvenlik açıklarını azaltmak için önemli güvenlik kontrollerine sahiptir.
Araştırmacılar analizde, “Rust bir çapraz derleme dilidir, bu nedenle bir dizi BlackCat Linux örneği, Windows benzerlerinden kısa bir süre sonra vahşi doğada hızla ortaya çıktı” dedi. Diğer güvenlik firmaları, geçen yıl Linux kötü amaçlı yazılımlarında bir artış gördü.
Kaspersky, saldırganların kimlik bilgilerini çalmaya ve sürücüleri şifrelemeye çalıştığı Orta Doğulu bir kurumsal kaynak planlama (ERP) hizmetleri sağlayıcısına karşı Kara Kedi etkinliği tespit etti. Güney Amerika’daki bir petrol, gaz, madencilik ve inşaat şirketine yönelik ikinci bir saldırı, Fendr sızıntı aracının kullanımını içeriyordu.
REvil ve BlackMatter Redux?
Baumgartner, ALPHAV’ın geliştiriciler, RaaS hizmetleri, bağlı kuruluşlar, müzakereciler ve nakit çıkışı desteğinden oluşan bir koleksiyon olduğu için, mevcut grubun yapısını belirlemek karmaşık bir görevdir, diyor. ALPHAV grubu, kendi organizasyonunu oluşturup REvil ve BlackMatter markalarını isim tanıma için kullanmaya karar veren bir üye olabilir mi?
“Onlar” – ALPHAV – REvil ve BlackMatter dahil olmak üzere geçmişteki çeşitli fidye yazılımı planlarının birden fazla bölümünden oluştuğunu iddia ediyor olabilir ve kesinlikle olabilir, ancak aynı zamanda kendi kötü gündemleri olan tamamen güvenilmez kaynaklardır” dedi. diyor. “BlackCat etkinliğinin en azından bir kısmı için açık olduğunu söyleyeceğim, BlackMatter etkinliğine kadar kesin bir soy var.”
Hem REvil hem de BlackMatter Rus aktörlerle bağlantılı olsa da, Baumgartner ALPHV’nin kendisinin Rus vatandaşlarından oluşup oluşmadığını söyleyemedi. Önceki araştırmalar, hem DarkSide hem de LockBit 2.0 gibi diğer gruplarla bağlantılıydı.
Kaspersky, firmanın yazılımının ulusal güvenlik için bir tehdit oluşturup oluşturamayacağı konusundaki tartışmanın odak noktası oldu. 2017’de Rus siber casusluk operatörleri, Kaspersky’nin güvenlik yazılımını kullanarak bir Ulusal Güvenlik Ajansı yüklenicisinin ev bilgisayarından gizli siber saldırı ve savunma araçlarını çaldı. ABD hükümeti o zamandan beri yazılımı yasakladı, ancak sorun Rusya’nın Ukrayna’yı işgal etmesiyle yeniden ortaya çıktı. yılında bir rapora göre Wall Street JournalBiden yönetimi firmaya yaptırım verip vermemeyi tartışıyor.