Black Cat/ALPHV fidye yazılımı grubu, bir veri ihlali olayının sorumluluğunu üstlendi ve çalınan verileri herkese açık olarak yayınlamakla tehdit etti. İhlal edilen veriler, grup iddialarıSagenext’e aittir, vergi ve muhasebe için bir bulut barındırma sağlayıcısı.
Cyber Express, Black Cat fidye yazılımı grubunun veri ihlali iddiasını doğrulamak için Sagenext’e ulaştı, ancak şirketten henüz herhangi bir onay almadı.
Tehdit aktörünün dark web sitesindeki gönderisine göre yetkili QuickBooks çözüm sağlayıcısı, vergi verilerini düzgün bir şekilde nasıl güvence altına alacağını bilmiyor ve “Kitty ile oynamaya çalışıyor”, bu da konunun ciddiyetsizliğini ima ediyor.
Kara Kedi Fidye Yazılımı: Son hitler
Black Cat fidye yazılımı grubu, genellikle yüksek profilli şirketleri ve kuruluşları hedef alan fidye yazılımı saldırıları ve veri ihlalleri geçmişine sahiptir.
The Cyber Express’in Mart ayında bildirdiğine göre, Amazon’un sahibi olduğu popüler bir ev güvenlik şirketi olan Ring, en son kurbanları arasında yer aldı.
Amazon Ring veri ihlaline dair resmi bir onay olmamasına rağmen fidye yazılımı grubu, ev güvenlik şirketinin özel verilerine erişimi olduğunu iddia etti ve bir anlaşmaya varılamaması halinde bu verileri sızdırmakla tehdit etti.
AR türevi tüfekler ve karabina üretiminde uzmanlaşmış bir Amerikan ateşli silah şirketi olan Central Missouri Machine Guns (CMMG Inc.), o ay tespit edilen bir başka kurbandı.
Popüler Amerikan fast-food zinciri Five Guys, Şubat ayında Black Cat fidye yazılımı çetesinin veri sızıntısı sitesinde listelendi. Çete, şirketten mali tablolar, bordro bilgileri, işe alım bilgileri ve denetim kayıtları gibi gizli bilgileri çaldığını iddia etti.
Ocak ayında fidye yazılımı grubu, dünyanın en büyük özel konaklama işletmelerinden biri olan Westmont Hospitality Group’un 262 GB verisine erişimi olduğunu iddia etti.
Kara Kedi fidye yazılımı çetesinin sızıntı sitesinde yayınlanan nota göre fidye ödemesi için son tarih 31 Ocak 2023 idi. Çete, verilere 23 Aralık 2022’de eriştiğini söyledi.
Black Cat Ransomware ve çalışma modu
İlk olarak Kasım 2021’de keşfedilen BlackCat, Rust programlama dilinde kodlanan en eski fidye yazılımı varyantlarından biri olarak ün kazandı.
Yaratıcıları, özellikle bu modern dilde yazılmış ikili dosyaları analiz etmek ve ayrıştırmak için hala mücadele ediyor olabilecek geleneksel güvenlik çözümlerinden tespit edilmekten kaçınmayı amaçladı.
“BlackCat’in gelişi ve uygulaması, onu konuşlandıran aktörlere bağlı olarak değişse de sonuç aynı—
Danışma belgesi, Black Cat fidye yazılımının, Windows ve Linux işletim sistemlerini kullananlar da dahil olmak üzere çeşitli cihazları ve ayrıca VMWare örneklerini şifreleme ve bunlara saldırma yeteneğine sahip olduğunu söyledi. Gelişmiş özellikleri, bağlı kuruluşlarının kendi kendine yayılmasını özelleştirmesine ve karşılaştığı ortama uyum sağlamasına olanak tanır.
BlackCat yükünün yönetici ayrıcalıklarına sahip olmadığı durumlarda, bunun dllhost.exe aracılığıyla başlatıldığını ve bunun da cmd.exe aracılığıyla bir dizi komutu tetiklediğini gözlemledik. Bu komutlar, bağlı kuruluşlar tarafından BlackCat yükünün özelleştirilmiş yürütülmesine bağlı olarak farklılık gösterebilir.
Black Cat fidye yazılımı, kurbanın sistemine ilk erişimi elde etmek için daha önce güvenliği ihlal edilmiş kullanıcı kimlik bilgilerinden yararlanır, çetenin dahil olduğu saldırılarla ilişkili uzlaşma göstergelerini (IOC’ler) ayrıntılarıyla açıklayan FBI Flash raporuna dikkat çekildi.
“Kötü amaçlı yazılım erişim sağladığında, Active Directory kullanıcı ve yönetici hesaplarını tehlikeye atıyor. Kötü amaçlı yazılım, fidye yazılımını dağıtmak üzere kötü amaçlı Grup İlkesi Nesnelerini (GPO’lar) yapılandırmak için Windows Görev Zamanlayıcı’yı kullanır.
“Kötü amaçlı yazılımın ilk dağıtımı, Cobalt Strike ile bağlantılı olarak PowerShell betiklerinden yararlanır ve kurbanın ağındaki güvenlik özelliklerini devre dışı bırakır. BlackCat/ALPHV fidye yazılımı, güvenlik ihlali sırasında Windows yönetim araçlarından ve Microsoft Sysinternals araçlarından da yararlanır.”