Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Регистрируйтесь и участвуйте в онлайн-конференции!

Партнеры BlackMatter и REvil собрали группу BlackCat, чтобы продолжать RaaS-бизнес

21/03/22

blackcatВ ходе анализа атак кибервымогательских группировок BlackCat и BlackMatter специалисты выявили много общего в их тактиках, техниках и процедурах (TTP), что может свидетельствовать о тесной связи между ними.

Хотя кибервымогатели часто проводят ребрендинг своих операций, когда внимание к ним со стороны правоохранительных органов усиливается, BlackCat (она же Alphv) – это своего рода «супергруппа», состоящая из партнеров разных кибервымогательских группировок.

BlackCat впервые появилась в ноябре 2021 года и с тех пор атаковала несколько организаций по всему миру. Многие эксперты видели в ней сходство с BlackMatter – кибервымогательской группировкой, возникшей на «останках» печально известной DarkSide, атаковавшей Colonial Pipeline в мае 2021 года.

В интервью изданию The Record в прошлом месяце представитель BlackCat заявил, что слухи, будто группировка является новым названием BlackMatter, не соответствуют действительности. Однако он отметил, что BlackCat состоит из партнеров разных RaaS.

«Частично мы связаны с gandrevil [GandCrab/REvil], blackside [BlackMatter/DarkSide], mazegreggor [Maze/Egregor], lockbit, и пр., поскольку являлись их партнерами. Мы позаимствовали их плюсы и устранили минусы», – сообщил представитель группировки.

По словам специалистов Cisco Talos, похоже, BlackCat – пример вертикального расширения бизнеса.

«По сути, это способ контролировать восходящую цепочку поставок, делая сервис, являющийся ключевым для их бизнеса (оператора RaaS), более подходящим для их нужд и добавляя еще один источник дохода», – пояснили исследователи.

Более того, эксперты обнаружили целый ряд общих черт между атакой BlackMatter в сентябре 2021 года и атакой BlackCat в декабре 2021 года, включая используемые инструменты и имена файлов, а также домен для поддержания постоянного доступа ко взломанным сетям.

Использование одного и того же C&C-адреса может свидетельствовать о том, что партнер BlackMatter, вероятно, был одним из первых, кто внедрил BlackCat, поскольку для достижения стадии шифрования обеим атакам потребовалось более 15 дней.

«Как мы уже неоднократно видели, RaaS-сервисы приходят и уходят. Однако их партнеры, скорее всего, просто переходят на новый сервис. А с ними сохраняются и многие TTP», – пояснили исследователи.

Темы:УгрозыDarkMatterThe Record
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Регистрируйтесь и участвуйте!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...