FBI deler oplysninger om BlackCat

Af Eskil Sørensen, 22/04/22

Og anmoder om offentlighedens hjælp til information til yderligere undersøgelser om BlackCat ransomwaregruppen, der også har universiteter i USA på samvittigheden.

Federal Bureau of Investigation (FBI)s cyberdivision offentliggjorde i denne uge indicators of compromise (IOC'er) knyttet med BlackCat Ransomware-as-a-Service (RaaS). Det skriver Security Week, The Record og en række andre medier.

Selv om mange sikkert har hørt om BlackCat før, så er det en relativt ung spiller på markedet, der første gang blev observeret i november 2021. Gruppen går også under navnene ALPHV og Noberus. Leverandøren har således officielt kun ½ år på bagen, men alligevel har den ifølge FBI allerede formået at stå bag kompromitteringer af mindst 60 organisationer verden over. Dog menes gruppen at være et rebrand af BlackMatter- og DarkSide-ransomware-grupperne, hvorfor den har haft et grundlag at bygge sin forretning op på.

Ifølge The Record hævder en repræsentant for gruppen, at de fleste af de store ransomware-grupper er noget forbundet på grund af, hvordan de fungerer. Det er også tidligere set ved etablering af strategisk samarbejder mellem gruppen, fælles sites til offentliggørelse af gidseldata mv.

Universiteter på generaliebladet

Gruppens nyeste ofre – ni stk – blev angiveligt bekendtgjort for tre dage siden, og i de sidste uger har gruppen har ifølge The Record taget æren for ransomware-angreb på Florida International University og North Carolina A&T University. Det kan tyde på, at gruppen interesserer sig for universitetsmiljøet, og da cyberkriminalitet pr. defintion er verdensomspændende, bør enheder inden for uddannelses- og forskningssektoren tage sig i akt.

Ifølge Security week er indgangen til ofrene typisk først kompromittering af credentials, dernæst kompromittering af Active Directory-bruger- og administratorkonti. Ondsindede group policies (GPO'er) bruges til at implementere ransomwaren. Før dette sker sørger BlackCat dog at eksfiltrere data, så der er noget at handle med.

I analysen af BlackCat-angrebs er der også blevet set brug af PowerShell-scripts, Cobalt Strike Beacon og legitime Windows-værktøjer og Sysinternals-værktøjer. Angriberne blev også set deaktivere sikkerhedsfunktioner til at bevæge sig uhindret inden for offerets netværk.

Altså en klassisk metode til at implementere ransomware. En forskel fra andre ransomwareløsninger er dog, at BlackCat som det første af sin art er i RUST programmeringssproget, som ifølge the Record af mange anses for at være et mere sikkert programmeringssprog.

I forbindelse med offentliggørelse af IoC’erne anmoder FBI også om offentlighedens hjælp i form af inkludere IP-logfiler, der viser tilbagekald fra udenlandske IP-adresser, Bitcoin- eller Monero-adresser og transaktions-id'er, kommunikation med trusselsaktører, dekrypteringsfilen og/eller en prøver fra en krypteret fil.