Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Партнеры BlackMatter и REvil собрали группу BlackCat, чтобы продолжать RaaS-бизнес

21/03/22

blackcatВ ходе анализа атак кибервымогательских группировок BlackCat и BlackMatter специалисты выявили много общего в их тактиках, техниках и процедурах (TTP), что может свидетельствовать о тесной связи между ними.

Хотя кибервымогатели часто проводят ребрендинг своих операций, когда внимание к ним со стороны правоохранительных органов усиливается, BlackCat (она же Alphv) – это своего рода «супергруппа», состоящая из партнеров разных кибервымогательских группировок.

BlackCat впервые появилась в ноябре 2021 года и с тех пор атаковала несколько организаций по всему миру. Многие эксперты видели в ней сходство с BlackMatter – кибервымогательской группировкой, возникшей на «останках» печально известной DarkSide, атаковавшей Colonial Pipeline в мае 2021 года.

В интервью изданию The Record в прошлом месяце представитель BlackCat заявил, что слухи, будто группировка является новым названием BlackMatter, не соответствуют действительности. Однако он отметил, что BlackCat состоит из партнеров разных RaaS.

«Частично мы связаны с gandrevil [GandCrab/REvil], blackside [BlackMatter/DarkSide], mazegreggor [Maze/Egregor], lockbit, и пр., поскольку являлись их партнерами. Мы позаимствовали их плюсы и устранили минусы», – сообщил представитель группировки.

По словам специалистов Cisco Talos, похоже, BlackCat – пример вертикального расширения бизнеса.

«По сути, это способ контролировать восходящую цепочку поставок, делая сервис, являющийся ключевым для их бизнеса (оператора RaaS), более подходящим для их нужд и добавляя еще один источник дохода», – пояснили исследователи.

Более того, эксперты обнаружили целый ряд общих черт между атакой BlackMatter в сентябре 2021 года и атакой BlackCat в декабре 2021 года, включая используемые инструменты и имена файлов, а также домен для поддержания постоянного доступа ко взломанным сетям.

Использование одного и того же C&C-адреса может свидетельствовать о том, что партнер BlackMatter, вероятно, был одним из первых, кто внедрил BlackCat, поскольку для достижения стадии шифрования обеим атакам потребовалось более 15 дней.

«Как мы уже неоднократно видели, RaaS-сервисы приходят и уходят. Однако их партнеры, скорее всего, просто переходят на новый сервис. А с ними сохраняются и многие TTP», – пояснили исследователи.

Темы:УгрозыDarkMatterThe Record
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...