"Blackcat – שחקן מרכזי ומתוחכם במיוחד בעולם מתקפות הכופרה"

חתול שחור – גם בסייבר: בדצמבר האחרון זוהתה קבוצת כופרה חדשה בשם Blackcat. בסוף השבוע חשפו חוקרי קספרסקי פרטים אודות שתי תקריות סייבר מתוחכמות שבוצעו על ידה.

לדברי החוקרים, המורכבות של הנוזקות בשילוב הניסיון הרחב של התוקפים הופכים את הקבוצה לאחת השחקניות הגדולות בתחום.

חוקרי קספרסקי זיהו שבניגוד לקבוצות כופר אחרות, הנוזקה של Blackcat כתובה בשפת התכנות RUST. הודות ליכולות המתקדמות שלה, Blackcat מסוגלת לתקוף גם מערכות מבוססות Windows ולינוקס.

"הדבר מהווה שינוי מגמה בטכנולוגיה שמשמשת תוקפים להתמודדות עם כלי האבטחה המתפתחים בעולם הכופרה", כתבו החוקרים. "ניתוח של תעבורת הדטה של Blackcat מעלה שחבריה משתמשים בכלים ובטכניקות שהיו בשימוש נרחב על ידי קבוצת התקיפה BlackMatter, וכנראה שקיים קשר בין הקבוצות".

חוקרי קספרסקי לא פירטו את הזהות הלאומית של התוקפים, אולם חברות סייבר אחרות ציינו כי מדובר בהאקרים דוברי רוסית.

שני אירועי סייבר

בדו"ח שופכים החוקרים אור על שני אירועי סייבר שביצעה הקבוצה: האחד מדגים את הסיכון המוצג על ידי משאבי אחסון משותפים בענן, והשני את גמישות ההתאמה של הנוזקות שבהן השתמשו חברי הקבוצות Blackmatter ו-Blackcat לתקיפת מטרות שונות.

במקרה הראשון בוצעה מתקפה נגד חולשה אצל ספק ERP שמארח אתרים רבים במזרח התיכון (החברה לא ציינה באיזו מדינה או באילו מדינות מדובר). אז התוקפים שלחו במקביל שני סוגים של קובצי הרצה לאותו שרת פיזי. הם התמקדו בשני ארגונים שונים שמתארחים שם באופן וירטואלי. בנוסף, הקבוצה העבירה קובץ אצווה (Batch file) של Mimikatz. זהו יישום קוד פתוח, שמאפשר למשתמשים להציג ולשמור הרשאות. הם שלחו אותו יחד עם קובץ הרצה וכלי שירות לשחזור סיסמת רשת.

אירוע דומה התרחש ב-2019, כאשר קבוצת ההאקרים REvil – קודמתה של BlackMatter – חדרה לשירות ענן שתומך במרפאות שיניים רבות בארצות הברית. חוקרי קספרסקי כתבו כי "סביר להניח ש-Blackcat אימצה כמה מהטקטיקות המוכרות שבוצעו אז".

במקרה השני, המתקפה בוצעה נגד חברות נפט, גז, כרייה וחברת בנייה בדרום אמריקה. פה, החוקרים הצליחו למצוא קשר בין פעילות הכופר של קבוצת Blackcat לפעילות של Blackmatter. לדבריהם, "לא רק שהשותפים מאחורי מתקפת הכופרה ניסו לתקוף את הרשת, הם גם ניסו להדביק קודם לכן את המטרה שלהם בכלי שמאפשר חילוץ קבצים". הם כינו את הכלי הזה Fendr. הוא ידוע גם בשם Exmatter. הכלי נועד לגנוב סוגי קבצים ספציפיים מכמה ספריות נבחרות, שמועלות לשרת שנשלט על ידי התוקף – לפני הפריסה של הנוזקה עצמה על הרשת של הקורבן. גם כלי זה היה בעבר בשימוש במתקפות של Blackmatter.

לדברי דמיטרי גלוב, חוקר אבטחה בצוות המחקר והניתוח העולמי של קספרסקי, "זה היה רק עניין של זמן שקבוצת כופרה תשתלט על הוואקום שאותו הותירו REvil ו-Blackmatter לאחר שסגרו את פעילותן. הידע בפיתוח נוזקות, שפת התכנות יוצאת הדופן והשמירה על התשתית הופכות את קבוצת Blackcat לשחקן מרכזי בשוק מתקפות הכופר". הוא הוסיף כי "חשוב שקהילת אבטחת הסייבר העולמית תשלב ידיים ותעבוד במשותף נגד קבוצות חדשות של פושעי סייבר".