Il gruppo ransomware BlackCat, noto anche come ALPHV, afferma di aver violato i sistemi di Namco Bandai, l'editore di videogiochi giapponese dietro titoli AAA come Elden Ring e Dark Souls.
La notizia è stata segnalata prima anche da Vx-underground e successivamente da due gruppi di watchdog del malware (Apre in una nuova scheda). BlackCat è uno dei ceppi di ransomware più popolari al mondo e ha persino attirato l'attenzione del Federal Breau of Investigation (FBI).
Tuttavia, Namco Bandai sta attualmente tacendo sulla questione, rendendo difficile confermare l'autenticità di queste affermazioni.
Nel mirino dell'FBI
Nell'aprile 2022, l'FBI ha emesso un avviso che il ceppo "nuovo virulento ransomware" di BlackCat aveva infettato almeno 60 diverse organizzazioni in due mesi. A quel tempo, l'FBI descrisse BlackCat come "ransomware as a service" e affermò che il suo malware era scritto in Rust.
Sebbene la maggior parte dei ceppi di ransomware siano scritti in C o C++, l'FBI afferma che Rust è un "linguaggio di programmazione più sicuro che offre prestazioni migliorate e un'elaborazione simultanea affidabile".
BlackCat in genere richiede il pagamento in Bitcoin e Monero in cambio della chiave di decrittazione e, sebbene le richieste siano spesso "milionarie", ha spesso accettato pagamenti inferiori alla richiesta originale, secondo l'FBI.
Apparentemente il gruppo ha forti legami con Darkside e ha "reti ed esperienza vaste" nello sfruttamento di attacchi di malware e ransomware (si apre in una nuova scheda).
Dopo aver ottenuto l'accesso iniziale agli endpoint di destinazione, il gruppo procederà alla compromissione degli account utente e amministratore di Active Directory e utilizzerà l'Utilità di pianificazione di Windows per configurare gli oggetti Criteri di gruppo (GPO) dannosi per distribuire il ransomware.
L'implementazione iniziale utilizza gli script di PowerShell, insieme a Cobalt Strike, e disabilita le funzionalità di sicurezza all'interno della rete della vittima.
Dopo aver scaricato e bloccato quanti più dati possibile, il gruppo cercherà di distribuire il ransomware su host aggiuntivi.
L'FBI consiglia di eseguire la scansione di controller di dominio, server, workstation e directory attive alla ricerca di account utente nuovi o non riconosciuti; eseguire backup dei dati regolari, eseguire la scansione dell'utilità di pianificazione per attività pianificate non riconosciute e richiedere le credenziali dell'amministratore per qualsiasi processo di installazione del software, come misura di mitigazione.
BlackCat si è anche unito di recente alla rete decentralizzata di attori malintenzionati di Conti e ha violato con successo i server Microsoft Exchange, più volte, per distribuire ransomware.
Via: PCGamer (si apre in una nuova scheda)
