L'ANALISI TECNICA

BlackCat: il nuovo ransomware che spaventa per la sofisticata professionalità

Si chiama BlackCat il primo ransomware attivo attualmente in attacchi reali a essere scritto con il linguaggio di programmazione Rust. Nato probabilmente dalle ceneri di REvil, viene pubblicizzato come Malware-as-a-Service per colpire le grandi aziende. Ecco tutto quello che c’è da sapere

24 Dic 2021
F
Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

ALPHV, più noto come BlackCat, è il primo gruppo di criminali informatici ransomware a utilizzare malware creati con il linguaggio di programmazione Rust. Il nuovo malware è pubblicizzato su due forum underground ed è già stato utilizzato in attacchi reali.

Come notato dai ricercatori di Recorded Future e MalwareHunterTeam, ALPHV è tecnicamente il terzo ransomware scritto in Rust, ma il primo a essere utilizzato e attivo attualmente in attacchi reali. Il primo era un malware sperimentale rilasciato nel 2020 su GitHub e il secondo era l’ormai defunto malware BadBeeTeam sviluppato lo stesso anno.

Gli esperti di sicurezza suggeriscono che gli sviluppatori di ALPHV erano precedentemente probabili membri del gruppo REvil. Gli operatori di ALPHV hanno pubblicizzato l’omonimo Ransomware-as-a-Service (RaaS) in due forum del settore (XSS ed Exploit), invitando altri a unirsi agli attacchi con riscatto mirando contro le grandi aziende.

Le funzionalità del malware includono la capacità di crittografare i dati su sistemi che eseguono Windows, Linux e VMWare eSXI.

Agli affiliati vengono offerte entrate che vanno dall’80% al 90% del buyout finale.

Perché BlackCat usa il linguaggio Rust

Rust è un linguaggio di programmazione multi-paradigma, sviluppato da Mozilla nel 2010, che mira a raggiungere prestazioni più elevate e migliori livelli di sicurezza rispetto al C++. Rust è stato il linguaggio più amato su Stack Overflow per cinque anni consecutivi. Per questi motivi, probabilmente, anche gli sviluppatori di malware stanno cercando di sviluppare malware utilizzando Rust.

dal 14 al 17 giugno 2022
FORUM PA 2022. Cybersecurity: rafforzare la difesa della PA e del paese
Sicurezza
Cybersecurity

In effetti, MaaS (Malware-as-a-service) basati su Rust come RustyBuer e FickerStealer sono apparsi sul Dark Web, in tempi abbastanza recenti.

Analisi concreta del ransomware BlackCat

Diversi ricercatori, come MalwareHunterTeam (sopra citato) negli ultimi giorni hanno pubblicato una serie di dettagli che ci consentono di portare avanti un’analisi che può essere di aiuto a comprendere il funzionamento di questo ransomware e saperlo riconoscere.

Qui di seguito un esempio di come si presentano le note di riscatto rilasciate sul sistema infettato:

Dal punto di vista della struttura, questo malware si fa notare anche per importanti similitudini con altri già noti. BlackCat, come tanti altri RaaS, per effettuare le proprio azioni dannose, si basa su dei parametri di configurazione interni (in tutto sono stati identificati 21 parametri diversi). Di questa lista di parametri, però, 5 sono stati riconosciuti come identici a quelli del ransomware BlackMatter:

  • kill_services
  • kill_processes
  • exclude_directory_names
  • exclude_file_names
  • exclude_file_extensions

e un campo di configurazione del tipo “credentials” viene utilizzato anche da BlackMatter V1 e DarkSide. In questo campo, vengono memorizzate le credenziali di dominio della vittima.

Nonostante questo ci sono però anche dei dettagli che fanno capire che non si può (almeno non oggi) identificare i due gruppi come composti dalle stesse menti.

I due ransomware sono troppo simili: quando si fece ricondurre DarkSide al gruppo FIN7 e convertito in BlackMatter, questi ultimi avevano una configurazione composta da parametri completamente differenti tra loro (si può dire quasi al 100% differente), mentre invece BlackCat ha ereditato, pari pari, un quarto dei parametri di BlackMatter.

Immagine che contiene tavoloDescrizione generata automaticamente

Come abbiamo già appurato, BlackCat è scritto in Rust e BlackMatter è basato su C/C++.

Ci sono anche anomalie temporali, che saltano fuori su questa analisi: infatti, sembrerebbe troppo preso per un rebranding di BlackMatter. DarkSide è stato dismesso dopo 10 mesi di attività (agosto 2020 – maggio 2021) per aver poi avviato (dopo tre mesi dalla cessazione, agosto 2021) il successore BlackMatter che è in vita da appena 4 mesi, ipotizzandone la fine negli ultimi giorni di novembre 2021 coincidente appunto con la comparsa del nuovo BlackCat.

Il ciclo di vita così esposto è decisamente irregolare e privo di un intuitivo collegamento riconducibile alla connessione dei due gruppi.

Immagine che contiene testoDescrizione generata automaticamente

Ancora, a differenza di DarkSide e BlackMatter che utilizzavano due o tre opzioni, BlackCat supporta un numero decisamente elevato di opzioni:

I siti di leaks

Come ogni gruppo ransomware che si rispetti, anche BlackCat ha dei siti web accessibili e non per la gestione delle vittime e dei loro dati.

Mentre DarkSide e BlackMatter prevedevano l’ingresso al proprio sito di negoziazione sempre tramite compilazione di un form che richiedeva la chiave d’accesso, BlackCat contiene tale chiave direttamente come parametro GET dell’URL che viene fornito alla vittima.

Di seguito, riportiamo l’ingresso al sito negoziazione di BlackMatter e a seguire quello al sito di negoziazione di BlackCat:

Sono stati identificati 5 domini onion (accessibili quindi tramite rete Tor) appartenenti al gruppo ransomware BlackCat. Tre sono dedicati alla negoziazione del riscatto con le vittime. Due sono invece i siti dedicati all’esposizione dei leaks (vetrine), una privata, utilizzata nella fase iniziale dei primi attacchi effettuati, ora dismesso e non più accessibile, ma interamente sostituito da quello pubblico, accessibile nel Dark Web senza limitazioni degli accessi, denominato appunto Alphv leak site.

Allo stato attuale sul sito pubblico si contano due vittime esposte da BlackCat, le cui analisi hanno fatto datare tra il 18 e il 25 novembre 2021 la compilazione del software malware, al 4 dicembre la registrazione dell’account sui forum Exploit e XSS con relativi annunci per la ricerca di personale esperto in pentesting, all’8 dicembre la pubblicazione su XSS del link al proprio sito vetrina pubblico (Alphv, diffuso lo stesso giorno dal gruppo ArvinClub su Telegram), al 9 dicembre la pubblicazione sul sito Alphv della loro seconda vittima e nuovo annuncio su altro forum (stavolta RAMP) alla ricerca di personale affiliabile.

WEBINAR
25 Maggio 2022 - 14:30
Cybersecurity 360Summit: nuove strategie, nuove minacce e nuove difese!
Sicurezza
Sicurezza dei dati
@RIPRODUZIONE RISERVATA

Articolo 1 di 4