Ransomware BlackCat – mối đe dọa Ransomware-as-a-Service

Ransomware-BlackCat
Nguồn: Sưu tầm

Giống như các nhóm Ransomware khác, Ransomware BlackCat tống tiền từ các doanh nghiệp mục tiêu bằng cách đánh cắp các dữ liệu mật

Cần biết về Ransomware BlackCat

Ransomware BlackCat còn được gọi là ALPHV là một mối đe dọa phổ biến và là Ransomware điển hình của nền kinh tế Ransomware-as-a-service (RaaS) đang phát triển. Ransomware BlackCat đáng chú ý do ngôn ngữ lập trình độc đáo (Rust), nhiều thiết bị mục tiêu và các điểm vào có thể có, và liên kết với các nhóm hoạt động đe dọa phong phú.

Mặc dù sự xuất hiện và cơ chế hoạt động của Ransomware BlackCat khác nhau tùy thuộc vào các tác nhân triển khai, nhưng kết quả do Ransomware BlackCat ảnh hưởng là giống nhau – dữ liệu mục tiêu được mã hóa, tách lọc và được sử dụng cho “tống tiền kép”, nơi những kẻ tấn công đe dọa sẽ tiết lộ dữ liệu bị đánh cắp cho công chúng nếu nạn nhân không trả tiền chuộc.

Lần đầu tiên xuất hiện vào tháng 11 năm 2021, Ransomware BlackCat đã gây chú ý đến toàn giới công nghệ thông tin. Bởi đây là một trong những họ Ransomware đầu tiên được viết bằng ngôn ngữ lập trình Rust. Bằng cách sử dụng ngôn ngữ hiện đại cho tải trọng, Ransomware BlackCat hạn chế sự phát hiện của các giải pháp bảo mật thông thường có khả năng phân tích cú pháp các mã nhị phân.

BlackCat cũng nhắm mục tiêu đến nhiều thiết bị và hệ điều hành Windows. iVIM đã quan sát thấy các cuộc tấn công thành công nhất của Ransomware BlackCat là tấn công các thiết bị Windows và Linux và các phiên bản VMWare.

nguyen-nhan-gap-phai-Ransomware-BlackCat
Nguồn: Sưu tầm

Nguyên nhân gặp phải Ransomware BlackCat

Mô hình liên kết RaaS và các chi nhánh của Raas bao gồm những những kẻ tấn công thực hiện các hoạt động khác như di chuyển ngang qua mạng và lọc dữ liệu trước khi cuối cùng khởi chạy tải trọng ransomware. Do đó, với tư cách là một trọng tải RaaS, cách BlackCat xâm nhập vào mạng của tổ chức mục tiêu sẽ khác nhau, tùy thuộc vào chi nhánh của RaaS triển khai.

Ngoài các phương thức tấn công phổ biến như xâm nhập vào các máy tính để bàn tích hợp ứng dụng từ xa và đánh cấp thông tin mật thì những kẻ tấn công Ransomware BlackCat còn lợi dụng lỗ hổng của Exchange server để đạt được quyền truy cập mạng mục tiêu. Trong đó nổi bật nhất là hai chi nhánh đã biết đang áp dụng BlackCat: DEV-0237 và DEV-0504.

Những đổi mới trong cách thức hoạt động giúp các cuộc tấn công Ransomware BlackCat tăng “giá trị” đe dọa đối với dữ liệu mật của các doanh nghiệp đồng thời đặt ra các thách thức trong việc xây dựng và phát triển các phần mềm bảo vệ, Backup dữ liệu. Vì nhóm những kẻ tấn công về Ransomware BlackCat có các chiến thuật, kỹ thuật và quy trình khác nhau (TTP) do đó, các cuộc triển khai tấn công về Ransomware BlackCat luôn thay đổi linh hoạt và rất khó để kiểm soát.

Ransomware-BlackCat-da-tan-cong-hon-60-doanh-nghiep
Nguồn: Sưu tầm

Phạm vi tấn công hơn 60 tổ chức của Ransomware BlackCat

Dựa trên thống kê dữ liệu về Ransomware của Cục Điều tra Liên bang (FBI), kể từ tháng 3 năm 2022, mối đe dọa Ransomware BlackCat được ghi nhận đã tấn công và xâm nhập vào ít nhất 60 tổ chức, doanh nghiệp ở nhiều quốc gia và các khu vực khác nhau ở Châu Phi, Châu Mỹ, Châu Á, Châu Âu và trên toàn thế giới.

BlackCat là nhóm Ransomware đầu tiên xâm nhập thành công các tổ chức, doanh nghiệp bằng cách sử dụng ngôn ngữ lập trình RUST, một ngôn ngữ lập trình giúp Ransomware BlackCat an toàn trước những phần mềm bảo vệ dữ liệu của doanh nghiệp, từ đó các cuộc tấn công Ransomware BlackCat ngày càng tinh vi và gây ảnh hưởng nghiêm trọng tạo rủi ro cao cho các doanh nghiệp.

Ngoài ra, Ransomware BlackCat hay ALPHV còn tận dụng thông tin đăng nhập của người dùng đã bị tấn công trước đó để có được quyền truy cập ban đầu vào hệ thống nạn nhân. Khi phần mềm độc hại thiết lập được quyền truy cập, chúng sẽ xâm nhập vào tài khoản người dùng và quản trị viên các thu mục đang hoạt động.

cach-thuc-tan-cong-Ransomware-BlackCat
Nguồn: Sưu tầm

Ransomware BlackCat sử dụng Trình lập lịch tác vụ của Windows để định cấu hình Đối tượng chính sách nhóm (GPO) độc hại nhằm triển khai Ransomware. Việc triển khai bao gồm các tập lệnh PowerShell, kết hợp với Cobalt Strike và vô hiệu hóa các tính năng bảo mật trong mạng của nạn nhân.

Ransomware BlackCat cũng tận dụng các công cụ quản trị của Windows và công cụ Sysinternals của Microsoft trong quá trình xâm nhập để đánh cắp dữ liệu mật của nạn nhân. Ransomware BlackCat sẽ tấn công vào các nhà cung cấp đám mây nơi dữ liệu của doanh nghiệp, tổ chức đang được lưu trữ và thông qua tập lệnh Windows để triển khai Ransomware và xâm nhập các máy chủ bổ sung.

Các nhóm đe dọa liên kết với BlackCat thường yêu cầu thanh toán tiền chuộc vài triệu đô la bằng Bitcoin và Monero nhưng đã chấp nhận thanh toán tiền chuộc thấp hơn số tiền yêu cầu tiền chuộc ban đầu. Nhiều nhà phát triển và kẻ rửa tiền cho BlackCat được liên kết với Darkside hay Blackmatter cho thấy những kẻ tấn công này có mạng lưới rộng lớn và kinh nghiệm với các hoạt động Ransomware.

kha-nang-trong-tai-cua-Ransomware-BlackCat
Nguồn: Sưu tầm

Khả năng tải trọng của Ransomware BlackCat

Việc sử dụng một ngôn ngữ lập trình hiện đại thể hiện một xu hướng tấn công Ransomware mới của các tác nhân đe dọa. Chuyển sang các ngôn ngữ như Rust hoặc Go cho tải trọng, những kẻ tấn công Ransonware BlackCat đã nỗ lực không chỉ để tránh bị phát hiện bởi các giải pháp bảo mật thông thường mà còn để gây khó khăn cho những nhà cung cấp phần mềm bảo vệ dữ liệu trong việc cố gắng thiết kế các phần mềm chống lại những tải trọng mới hoặc nhận diện được sự khác nhau giữa Ransomware BlackCat với các mối đe dọa tương tự.

Ransomware BlackCat đặt mục tiêu mã hóa các thiết bị Windows, Linux và các phiên bản VMWare. Ngoài ra Ransomware BlackCat còn có các khả năng mở rộng cấu hình dưới các câu lệnh mà Ransomware này đã từng thực hiện trước đó.

Bỏ qua kiểm soát tài khoản người dùng (UAC)

Ransomware BlackCat có thể bỏ qua UAC, có nghĩa là tải trọng sẽ chạy thành công ngay cả khi chạy từ ngữ cảnh không phải quản trị viên. Nếu Ransomware không chạy với đặc quyền quản trị, thì sẽ chạy một quy trình thứ cấp dưới dllhost.exe với đủ quyền cần thiết để mã hóa số lượng tệp tối đa trên hệ thống.

Ransomware-BlackCat-thuc-thi-cac-lenh
Nguồn: Sưu tầm
Liệt kê miền và thiết bị

Phần mềm tống tiền có thể xác định tên máy tính của hệ thống nhất định, ổ đĩa cục bộ trên thiết bị, tên miền AD và tên người dùng trên thiết bị. Phần mềm độc hại cũng có thể xác định xem người dùng có đặc quyền quản trị miền hay không, do đó làm tăng khả năng đòi tiền nhiều thiết bị hơn.

Tự nhân giống

Ransomware BlackCat có thể phát hiện ra tất cả các máy chủ được kết nối với mạng. Đầu tiên là quá trình phát các thông báo Dịch vụ Tên NetBIOS (NBNC) để kiểm tra các thiết bị bổ sung. Sau đó, Ransomware cố gắng sao chép chính mình trên các máy chủ trả lời bằng cách sử dụng thông tin đăng nhập được chỉ định trong cấu hình thông qua PsExec.

Gây khó khăn cho nỗ lực phục hồi

Ransomware BlackCat có nhiều phương pháp khiến cho nỗ lực khôi phục của các nhà cung cấp giải pháp trở nên khó khăn hơn. Dưới đây là các lệnh có thể được khởi chạy bởi trọng tải, cũng như mục đích của Ransomware BlackCat:

  • Sửa đổi bộ tải khởi động
    • “C: \ Windows \ system32 \ cmd.exe” / c “bcdedit / set {default}”
    • “C: \ Windows \ system32 \ cmd.exe” / c “bcdedit / set {default} recoveryenabled No”
  • Xóa các bản sao bóng âm lượng
    • “C: \ Windows \ system32 \ cmd.exe” / c “vssadmin.exe Xóa bóng / tất cả / yên tĩnh”
    • “C: \ Windows \ system32 \ cmd.exe” / c “wmic.exe Shadowcopy Delete”
  • Xóa nhật ký sự kiện của Windows
    • “C: \ Windows \ system32 \ cmd.exe” / c “cmd.exe / c cho / F \” tokens = * \ ”Chức năng không chính xác. in (‘wevtutil.exe el’) DO wevtutil.exe cl \ ”Chức năng không chính xác. \ ””
phong-tranh-Ransomware-BlackCat
Nguồn: Sưu tầm

Cần làm gì để tránh Ransomware BlackCat tấn công

  1. Xem lại bộ điều khiển miền, máy chủ, máy trạm và thư mục đang hoạt động để tìm tài khoản người dùng mới hoặc chưa được công nhận.
  2. Thường xuyên sao lưu dữ liệu, khe hở không khí và bảo vệ mật khẩu các bản sao lưu ngoại tuyến. Đảm bảo không thể truy cập các bản sao của dữ liệu quan trọng để sửa đổi hoặc xóa khỏi hệ thống nơi dữ liệu đó cư trú.
  3. Triển khai kế hoạch khôi phục để duy trì và giữ lại nhiều bản sao của dữ liệu và máy chủ nhạy cảm hoặc độc quyền ở một vị trí an toàn, được phân đoạn, riêng biệt về mặt vật lý (ví dụ: ổ cứng, thiết bị lưu trữ, đám mây).
  4. Sử dụng xác thực đa yếu tố nếu có thể.