что такое BlackCat Ransomware

Что такое BlackCat Ransomware? ФБР недавно выпустило предупреждение о новом штамме вымогательского ПО, известного как BlackCat Ransomware (он же Noberus и AlphaV), который сеет хаос на предприятиях и персональных компьютерах по всему миру (в основном в США). Агенты ФБР обеспокоены тем, что BlackCat может стать серьезной проблемой для предприятий, если не принять меры. Хотя большинство компаний имеют надежные системы безопасности для защиты от хакеров, они могут быть не готовы к атаке, подобной этой.

Полный текст статьи в Forbes можно прочитать здесь.

BlackCat Ransomware: Новая банда разработчиков программ-вымогателей на свободе  

BlackCat использует те же методы шифрования, что и другие типы программ-вымогателей, но при этом добавляет некоторые дополнительные меры безопасности, чтобы затруднить расшифровку файлов, если они зашифрованы. Это включает использование двух различных алгоритмов шифрования и обеспечение того, чтобы ключ расшифровки никогда не хранился на том же диске, что и зашифрованные файлы.

Создатели BlackCat, по-видимому, нацелились на предприятия и организации, а не на частных лиц, что вполне логично, поскольку организации такого типа, как правило, охотнее платят выкуп, чем частные лица.

BlackCat - это группа киберпреступников, которая нападает на предприятия с целью кражи их интеллектуальной собственности и личной информации. Она известна тем, что нападает на предприятия в сфере строительства и машиностроения, розничной торговли, транспорта, коммерческих услуг, страхования и машиностроения.

Группа также атаковала организации в Европе и на Филиппинах. Пока что наибольшее число жертв группировки находится в США, но ситуация может измениться, поскольку группировка продолжает расширять свой охват по всему миру.

D

Что такое BlackCat Ransomware: Ransomware-as-a-Service (RaaS)

BlackCat Ransomware - это бизнес-модель "вымогательство как услуга" (RaaS), основанная на партнерской маркетинговой структуре. Бизнес-модель RaaS означает, что BlackCat не размещает и не распространяет вредоносное ПО самостоятельно - она полагается на третьих лиц, которые делают это за нее. Такой подход позволяет BlackCat избежать юридической ответственности, а также помогает избежать обнаружения антивирусным программным обеспечением.

Что такое Ransomware-as-a-Service? 

Ransomware-as-a-service (RaaS) - это относительно новый тип кибератак, который позволяет любому приобрести вредоносное программное обеспечение и использовать его для удержания файлов в заложниках, как правило, до получения выкупа.

RaaS чрезвычайно выгоден для хакеров, поскольку они могут сдавать свое программное обеспечение для выкупа другим преступникам, не беспокоясь о том, что их поймают правоохранительные органы, как это было бы, если бы они проводили собственные атаки.

RaaS работает с помощью "партнерских" программ, которые, по сути, являются программами, позволяющими людям зарабатывать деньги на распространении вредоносного ПО. Партнерам платят за каждую зараженную ими жертву и за каждый раз, когда вредоносная программа приносит доход. Чем успешнее партнер распространяет RaaS, тем больше денег он может заработать.

Как она работает?

Ransomware обычно распространяется по электронной почте или через взломанный веб-сайт. Затем вредоносная программа шифрует все файлы пользователя и выводит предупреждение о том, что пользователь нарушил федеральные законы, в результате чего его компьютер блокируется. Затем злоумышленник сообщает пользователю, что он может разблокировать свой компьютер, заплатив выкуп - обычно от 200 до 600 долларов - в биткоинах или другой криптовалюте.

Причина, по которой RaaS-преступникам удается избежать наказания за этот вид мошенничества, заключается в том, что большинство жертв не сообщают о заражении ransomware; вместо этого они пытаются решить проблему самостоятельно, заплатив выкуп и надеясь на лучшее.

Нужна защита от атак ransomware? Читайте больше о DMARC и Ransomware здесь.

Анатомия BlackCat Ransomware

Ransomware считается сложным методом заражения и способно вывести зараженный узел из строя. Оно может нанести серьезный ущерб организации, если не будет быстро обнаружено. BlackCat ransomware загружается через файлы Microsoft Office, содержащие встроенный вредоносный исполняемый файл. Полезная нагрузка содержит код, который позволяет вредоносной программе распространяться по зараженной сети, нацеливаясь как на системы Windows, так и на Linux.

BlackCat ransomware описывается как "многоступенчатая" атака, целью которой является использование учетных записей пользователей и администраторов Active Directory (AD) для шифрования файлов на целевых компьютерах. Кроме того, BlackCat/ALPHV ransomware использует ранее скомпрометированные учетные данные пользователей для получения первоначального доступа к системе жертвы.

Как предотвратить появление BlackCat Ransomware?

Ручные действия для предотвращения атак BlackCat Ransomware:

  1. Регулярно обновляйте свое программное обеспечение. Программы-вымогатели обычно нацелены на старые системы или системы, которые давно не обновлялись, поэтому убедитесь, что вы знаете, какое программное обеспечение установлено на вашем компьютере, и убедитесь, что оно обновлено.
  2. Регулярно создавайте резервные копии всех своих файлов и храните их в двух разных местах (например, на двух разных внешних жестких дисках). Таким образом, если один диск выйдет из строя или будет заражен вредоносным ПО, у вас останутся копии всех ваших файлов на другом диске или в облаке, где они будут в безопасности!
  3. Используйте надежные пароли, которые больше нигде не используются (особенно многократно на разных аккаунтах), и никогда не переходите по ссылкам, присланным по электронной почте - даже если они выглядят так, будто исходят от человека, которому вы доверяете!
  4. Не платите выкуп! Платить преступникам - значит просто выбрасывать деньги на ветер. Они разблокируют ваши данные (как они утверждают) только в том случае, если вы сначала заплатите им, но они лгут! Не поддавайтесь на это!
  5. Попробуйте использовать встроенный инструмент восстановления файлов Windows для восстановления файлов из теневых копий (система резервного копирования). Это может не сработать в 100% случаев, но попробовать определенно стоит! Вы можете найти этот инструмент в разделе "Восстановление системы" в Панели управления (если вы не видите его сразу, введите в поиск "Восстановление системы").

Инструменты, которые можно развернуть для предотвращения атак BlackCat Ransomware:

1. Хорошая новость заключается в том, что существует новая технология, которая может помочь вам защитить свой бизнес от BlackCat ransomware: DMARC.

A политика DMARC позволяет отправителям электронной почты сообщать принимающим серверам, являются ли сообщения электронной почты легитимными. Это означает, что если злоумышленник попытается отправить фишинговое письмо с вложенным вредоносным кодом, сервер получателя будет знать, что письмо пришло не от владельца легитимного домена, и сможет отклонить его до того, как будет нанесен ущерб.

Получите свой бесплатный анализатор DMARC сегодня.

2. Многофакторная аутентификация (MFA) - это способ не допустить хакеров к вашим аккаунтам, но при этом обеспечить вам свободный доступ к ним. Благодаря использованию двух или более частей информации для подтверждения вашей личности, человеку, укравшему ваш пароль или другую идентификационную информацию, гораздо сложнее попасть в ваш аккаунт, не обнаружив MFA.

3. Брандмауэры могут защитить от многих атак BlackCat ransomware. Брандмауэр - это программное обеспечение, которое работает с вашей операционной системой и блокирует несанкционированный доступ к вашему компьютеру, включая доступ вредоносного кода, такого как ransomware. Большинство операционных систем включают брандмауэры, но если у вас их нет или вы хотите получить дополнительный уровень защиты, существует множество бесплатных вариантов, и многие из них легко установить.