Создатели шифровальщиков из BlackСat предлагают свои услуги по схеме Ransomware-as-a-Service (RaaS), то есть предоставляют другим злоумышленникам доступ к своей инфраструктуре и вредоносному коду за процент от выкупов. Кроме того, они, вероятно, берут на себя переговоры с жертвой. Таким образом, все, что остается оператору — получить доступ к корпоративной среде, так что разработки BlackCat применяются для атак на компании разного размера по всему миру.

В арсенале BlackCat имеется одноименный шифровальщик. Он написан на языке Rust, благодаря чему злоумышленникам удалось добиться определенной кроссплатформенности: варианты зловреда существуют и под Windows и под Linux.

Кроме того, они используют утилиту Fendr, которая служит для эксфильтрации данных из зараженной инфраструктуры. Именно использование этого инструмента и наводит на мысль, что BlackCat может быть просто ребрендингом группировки BlackMatter — раньше Fendr, также известный как ExMatter, использовался только ими.

Также киберпреступники из BlackCat применяют инструмент PsExec для распространения по сети жертвы, могут загружать известный хакерский софт Mimikatz и ПО Nirsoft для добычи сетевых паролей.

Кого атакуют при помощи инструментов BlackCat? «Лаборатория Касперского» информирует:

Среди инцидентов с применением шифровальщика BlackCat наши эксперты видели как минимум одну атаку на южноамериканскую промышленную компанию, занимающуюся полезными ископаемыми и строительством, а также заражение нескольких клиентов ближневосточного ERP-провайдера (организации, предоставляющей инструменты для планирования ресурсов предприятия).

Беспокойство вызывает модернизация, которую претерпел инструмент Fendr. Теперь он умеет автоматически выкачивать гораздо более широкий спектр файлов по сравнению с прошлыми случаями его применения группировкой BlackMatter. Ему добавили способность находить файлы с расширениями .sqlite, .catproduct, .rdp, .accdb, .catpart, .catdrawing, .3ds, .dwt и .dxf. Файлы этих типов используются приложениями для промышленного дизайна и инструментами для удаленного доступа. Это может означать, что создатели зловреда нацелились на промышленные среды.

Как оставаться в безопасности? «Лаборатория Касперского» рекомендует:

• Защищать все корпоративные устройства при помощи надежных решений;
• Регулярно обучать сотрудников правилам информационной безопасности.

Полный текст статьи читайте на сайте.