Cục Điều tra Liên bang Hoa Kỳ (FBI) đang gióng lên hồi chuông cảnh báo về ransomware-as-a-service (RaaS) của BlackCat, mà cơ quan này cho biết đã trở thành nạn nhân của ít nhất 60 thực thể trên toàn thế giới tính đến tháng 3 năm 2022 kể từ khi nó xuất hiện vào tháng 11 năm ngoái.
Còn được gọi là ALPHV và Noberus, ransomware đáng chú ý vì là phần mềm độc hại đầu tiên được viết bằng ngôn ngữ lập trình Rust được biết là an toàn về bộ nhớ và cải thiện hiệu suất.
“Nhiều nhà phát triển và kẻ rửa tiền cho BlackCat / ALPHV có liên kết với DarkSide / BlackMatter, cho thấy họ có mạng lưới rộng lớn và kinh nghiệm với các hoạt động ransomware”, FBI cho biết trong một tư vấn được công bố vào tuần trước.
Tiết lộ được đưa ra vài tuần sau khi báo cáo song sinh từ Cisco Talos và Kasperksy phát hiện ra các liên kết giữa các họ ransomware BlackCat và BlackMatter, bao gồm việc sử dụng phiên bản sửa đổi của công cụ lọc dữ liệu có tên là Fendr mà trước đây chỉ được quan sát thấy trong hoạt động liên quan đến BlackMatter.
Giống như các nhóm RaaS khác, phương thức hoạt động của BlackCat liên quan đến việc đánh cắp dữ liệu nạn nhân trước khi thực thi ransomware, với phần mềm độc hại này thường tận dụng thông tin đăng nhập của người dùng bị xâm phạm để có được quyền truy cập ban đầu vào hệ thống mục tiêu.
Trong một sự cố ransomware BlackCat được phân tích bởi Vedere Labs của Forescout, một bức tường lửa sonicwall tiếp xúc với internet đã bị xâm nhập để có được quyền truy cập ban đầu vào mạng, trước khi chuyển đến và mã hóa trang trại ảo VMware ESXi. Việc triển khai ransomware được cho là đã diễn ra vào ngày 17 tháng 3 năm 2022.
Cơ quan thực thi pháp luật, bên cạnh việc khuyến nghị nạn nhân báo cáo kịp thời các sự cố ransomware, cũng cho biết họ không khuyến khích trả tiền chuộc vì không có gì đảm bảo rằng điều này sẽ cho phép khôi phục các tệp được mã hóa. Nhưng nó đã thừa nhận rằng các nạn nhân có thể bị buộc phải tuân theo những yêu cầu như vậy để bảo vệ cổ đông, nhân viên và khách hàng.
Theo khuyến nghị, FBI đang thúc giục các tổ chức xem xét bộ điều khiển miền, máy chủ, máy trạm và thư mục hoạt động cho các tài khoản người dùng mới hoặc không được công nhận, thực hiện sao lưu ngoại tuyến, thực hiện phân đoạn mạng, áp dụng cập nhật phần mềm và bảo mật tài khoản bằng xác thực đa yếu tố.
.
