ALPHV Blackcat
ALPHV, auch bekannt unter dem Namen BlackCat oder Noberus, ist eine ransomware Sorte, die in Ransomware as a Service (RaaS) Operationen verwendet wird.
Der Ursprung von ALPHV BlackCat
ALPHV wurde mit der Programmiersprache Rust entwickelt und kann auf verschiedenen Betriebssystemen wie Windows, Linux (Debian, Ubuntu, ReadyNAS, Synology) und VMWare ESXi laufen.
In Cybercrime-Foren wird es unter dem Namen ALPHV vermarktet, obwohl Sicherheitsforscher es oft als BlackCat bezeichnen, in Anspielung auf das schwarze Katzensymbol auf der Leck-Site.
Seit seinem ersten beobachteten Einsatz bei ransomware -Angriffen am 18. November 2021 hat ALPHV seine Vielseitigkeit bei der Verschlüsselung bewiesen und unterstützt sowohl AES- als auch ChaCha20-Algorithmen.
Um eine maximale Unterbrechung zu gewährleisten, kann ALPHV Volume Shadow Copys eliminieren, Prozesse und Dienste beenden und virtuelle Maschinen auf ESXi-Servern herunterfahren.
Darüber hinaus kann er sich selbst über lokale Netzwerke verbreiten, indem er PsExec für die Remote-Ausführung auf anderen Hosts verwendet.
ALPHV Blackcat wurde im Dezember 2023 vom FBI gestoppt.
Ziele
Die Ziele von ALPHV
Zielländer von ALPHV
ALPHV Blackcat richtete sich hauptsächlich an die USA, gefolgt von Deutschland und anderen europäischen Ländern wie Frankreich, Spanien und den Niederlanden.
Quelle: Palo Alto
Zielbranchen von ALPHV
Die Forscher haben über 210 Ankündigungen im Zusammenhang mit BlackCat ransomware untersucht und festgestellt, dass die Sektoren "Freiberufliche, wissenschaftliche und technische Dienstleistungen" und "Fertigung" die Hauptzielgruppen sind, wobei Anwaltskanzleien und juristische Dienstleistungen innerhalb der Branche der Freiberufler am meisten betroffen sind.
Quelle: SOCradar
Zielbranchen von ALPHV
Die Forscher haben über 210 Ankündigungen im Zusammenhang mit BlackCat ransomware untersucht und festgestellt, dass die Sektoren "Freiberufliche, wissenschaftliche und technische Dienstleistungen" und "Fertigung" die Hauptzielgruppen sind, wobei Anwaltskanzleien und juristische Dienstleistungen innerhalb der Branche der Freiberufler am meisten betroffen sind.
Quelle: SOCradar
ALPHV Blackcat's Victims
Bis heute sind mehr als 724 Opfer den bösartigen Machenschaften von ALPHV zum Opfer gefallen.
Quelle: ransomware.live
Angriffsmethode
ALPHV Blackcat's Angriffsmethode
ALPHV zielt in erster Linie auf Schwachstellen in öffentlich zugänglichen Anwendungen ab und nutzt diese Schwachstellen wahrscheinlich aus, um in Netzwerksysteme einzudringen. In einigen Fällen werden auch legitime Domänenkonten verwendet, die möglicherweise durch frühere Einbrüche oder den Diebstahl von Zugangsdaten erlangt wurden, um im Netzwerk Fuß zu fassen.
Sobald ALPHV in das Netzwerk eingedrungen ist, erweitert es seine Privilegien, indem es dieselben gültigen Domänenkonten nutzt und sich selbst höhere Zugriffsebenen gewährt, die normalerweise Administratoren vorbehalten sind. Diese Eskalation ist entscheidend für die Vertiefung seiner Kontrolle über das System. Bei der Ausführung nutzt ALPHV die Windows Command Shell, um bösartige Befehle und Skripte auszuführen, die die Bereitstellung und Verbreitung von ransomware erleichtern.
Um sich der Entdeckung zu entziehen und Abwehrmaßnahmen zu erschweren, deaktiviert oder modifiziert ALPHV aktiv Sicherheitstools, die seine Aktivitäten erkennen oder blockieren könnten, z. B. durch die Beendigung von Antivirenprogrammen und die Deaktivierung von Sicherheitsdiensten.
ALPHV hat schwerwiegende Auswirkungen auf die angegriffenen Systeme: Es verschlüsselt wichtige Daten mit robusten Verschlüsselungsalgorithmen, so dass Benutzer keinen Zugriff mehr auf die Dateien haben. Darüber hinaus untergräbt er die Bemühungen zur Systemwiederherstellung, indem er Schattenkopien löscht und Wiederherstellungstools deaktiviert, was die Störung noch verschlimmert und die Opfer unter Druck setzt, Lösegeldforderungen zu erfüllen, um den Zugriff auf ihre Daten wiederherzustellen.
Erster Zugang
ALPHV zielt in erster Linie auf Schwachstellen in öffentlich zugänglichen Anwendungen ab und nutzt diese Schwachstellen wahrscheinlich aus, um in Netzwerksysteme einzudringen. In einigen Fällen werden auch legitime Domänenkonten verwendet, die möglicherweise durch frühere Einbrüche oder den Diebstahl von Zugangsdaten erlangt wurden, um im Netzwerk Fuß zu fassen.
Rechte-Eskalation
Sobald ALPHV in das Netzwerk eingedrungen ist, erweitert es seine Privilegien, indem es dieselben gültigen Domänenkonten nutzt und sich selbst höhere Zugriffsebenen gewährt, die normalerweise Administratoren vorbehalten sind. Diese Eskalation ist entscheidend für die Vertiefung seiner Kontrolle über das System. Bei der Ausführung nutzt ALPHV die Windows Command Shell, um bösartige Befehle und Skripte auszuführen, die die Bereitstellung und Verbreitung von ransomware erleichtern.
Verteidigung Umgehung
Um sich der Entdeckung zu entziehen und Abwehrmaßnahmen zu erschweren, deaktiviert oder modifiziert ALPHV aktiv Sicherheitstools, die seine Aktivitäten erkennen oder blockieren könnten, z. B. durch die Beendigung von Antivirenprogrammen und die Deaktivierung von Sicherheitsdiensten.
Zugang zu Anmeldeinformationen
Entdeckung
Seitliche Bewegung
Sammlung
Ausführung
Exfiltration
Auswirkungen
ALPHV hat schwerwiegende Auswirkungen auf die angegriffenen Systeme: Es verschlüsselt wichtige Daten mit robusten Verschlüsselungsalgorithmen, so dass Benutzer keinen Zugriff mehr auf die Dateien haben. Darüber hinaus untergräbt er die Bemühungen zur Systemwiederherstellung, indem er Schattenkopien löscht und Wiederherstellungstools deaktiviert, was die Störung noch verschlimmert und die Opfer unter Druck setzt, Lösegeldforderungen zu erfüllen, um den Zugriff auf ihre Daten wiederherzustellen.
MITRE ATT&CK Kartierung
Von ALPHV verwendete TTPs
ALPHV verfolgt bei seinen Angriffen auf ransomware einen methodischen und vielschichtigen Ansatz, der die Effektivität in verschiedenen Phasen des Angriffszyklus gewährleistet.
TA0001: Initial Access
T1190
Exploit Public-Facing Application
T1078
Valid Accounts
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1078
Valid Accounts
TA0004: Privilege Escalation
T1078
Valid Accounts
TA0005: Defense Evasion
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1558
Steal or Forge Kerberos Tickets
T1555
Credentials from Password Stores
T1552
Unsecured Credentials
TA0007: Discovery
No items found.
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
No items found.
TA0040: Impact
T1490
Inhibit System Recovery
T1657
Financial Theft
T1486
Data Encrypted for Impact
Plattform-Detektionen
Wie man ALPHV mit Vectra AI
Häufig gestellte Fragen
Was ist ALPHV BlackCat?
ALPHV BlackCat, auch bekannt als Noberus, ist eine ausgeklügelte, in Rust geschriebene ransomware -Variante, die in Ransomware as a Service (RaaS) Operationen eingesetzt wird. Sie ist in der Lage, mehrere Betriebssysteme anzugreifen, darunter Windows, Linux und VMWare ESXi.
Wie erhält ALPHV BlackCat den ersten Zugang zu einem Netzwerk?
ALPHV BlackCat verschafft sich in der Regel über Exploits in öffentlich zugänglichen Anwendungen oder über gültige Domänenkonten, die möglicherweise kompromittiert wurden, einen ersten Zugang.
Was sind die Hauptziele von ALPHV BlackCat?
ALPHV BlackCat zielt vor allem auf Branchen wie freiberufliche, wissenschaftliche und technische Dienstleistungen und das verarbeitende Gewerbe ab, wobei der Schwerpunkt auf Anwaltskanzleien und juristischen Dienstleistungen innerhalb des freiberuflichen Sektors liegt.
Welche Verschlüsselungsalgorithmen werden von ALPHV BlackCat verwendet?
ALPHV BlackCat kann so konfiguriert werden, dass entweder AES- oder ChaCha20-Verschlüsselungsalgorithmen zum Sperren von Opferdaten verwendet werden.
Wie entgeht ALPHV BlackCat der Entdeckung?
ransomware setzt verschiedene Techniken ein, um die Entdeckung zu umgehen, einschließlich der Deaktivierung von Sicherheitstools und der Änderung von Systemprozessen, um Abwehrmaßnahmen zu verhindern.
Was können Unternehmen tun, um sich vor ALPHV BlackCat-Angriffen zu schützen?
Unternehmen sollten robuste Sicherheitsmaßnahmen implementieren, wie z. B. regelmäßige Patches, fortschrittlichen endpoint Schutz verwenden, Mitarbeiterschulungen zum Thema Sicherheit durchführen und eine KI-gesteuerte Plattform zur Erkennung von Bedrohungen wie Vectra AI einsetzen, um Bedrohungen effektiver zu erkennen und darauf zu reagieren.
Welche Auswirkungen hat ALPHV BlackCat auf die betroffenen Systeme?
ALPHV BlackCat verschlüsselt wichtige Dateien, löscht Schattenkopien und stoppt kritische Dienste und virtuelle Maschinen, um die Störung zu maximieren und die Opfer zur Zahlung des Lösegelds zu zwingen.
Verfügt ALPHV BlackCat über die Fähigkeit zur Selbstvermehrung?
Ja, ALPHV BlackCat kann sich innerhalb eines Netzwerks mit Hilfe von Tools wie PsExec selbst verbreiten und aus der Ferne auf anderen Rechnern im lokalen Netzwerk ausgeführt werden.
Wie sollten IT-Teams auf eine ALPHV-BlackCat-Infektion reagieren?
Die sofortige Isolierung der betroffenen Systeme, die Identifizierung und der Entzug der kompromittierten Zugangsdaten, die Löschung der Präsenz von ransomwareund die Wiederherstellung anhand von Sicherungskopien sind neben einer gründlichen Untersuchung zur Verhinderung künftiger Verstöße entscheidende Schritte.
Welche Rolle spielt die KI-gestützte Bedrohungserkennung bei der Bekämpfung von ALPHV BlackCat?
KI-gesteuerte Plattformen zur Erkennung von Bedrohungen wie Vectra AI spielen eine entscheidende Rolle bei der Identifizierung subtiler Anzeichen von ALPHV BlackCat-Aktivitäten und anderen hochentwickelten Bedrohungen, indem sie Muster und Anomalien analysieren, die auf bösartiges Verhalten hinweisen, und so schnellere und effektivere Reaktionen ermöglichen.