ALPHV je bio drugi najkorišteniji soj ransomware-a u Sjevernoj Americi i Evropi između januara 2022. i oktobra 2023. godine, neposredno prije prijavljivanja uklanjanja web stranice grupe, prema istraživanju ZeroFoxa.
Analiza je pokazala da ALPHV, zvani BlackCat, činio oko 11% svih ransomware i napada digitalne iznude (R&DE) u Sjevernoj Americi tokom perioda od 21 mjesec. Drugi su po učestalosti odmah nakon LockBit kolektiva.
ALPHV je takođe bio drugi najkorišteniji soj ransomware-a u Evropi, čineći 6% svih prijetnji.
Osim toga, izvještaj je otkrio da su globalne aktivnosti ALPHV-a značajno porasle u 2023. u odnosu na 2022., iako je došlo do pada u Q3 2023.
Najveći fokus grupe u tom periodu bio je na organizacije u Sjevernoj Americi, čineći 56% njihovih napada. Slijedila je Evropa sa 20%.
Kako će na ALPHV uticati poremećaji koji se pričaju?
Ranije ovog mjeseca (decembar 2023.), objavljeno je da je ransomware-as-a-service (RaaS) banda pretrpjela prekid na mreži koje su obavještajni stručnjaci pripisali radnjama službi za provođenje zakona.
Iako je prekid dobrodošao, Daniel Curtis, viši obavještajni analitičar u ZeroFoxu, naglasio je da su prekidi na web stranici prilično redovna pojava za grupe sajber kriminala i da će vjerovatno rezultovati samo privremenim suzbijanjem prijetnje od strane njenih operativaca.
“Blog kartela za iznudu trenutno prolazi kroz duge periode zastoja, što se s vremena na vrijeme dešava u ovim ekosistemima i obično je rezultat neotkrivenih operacija provođenja zakona, međukartelskih sukoba ili održavanja mreže”, napomenuo je.
Curtis je dodao da u malo vjerovatnom slučaju da ALPHV podružnice više ne budu u mogućnosti da koriste ovaj soj, oni će se brzo okrenuti drugim R&DE ponudama kako bi nastavili ciljati žrtve.
ALPHV Intrusion Vectors
ZeroFox istraživači identifikovali su niz tehnika korištenih za primjenu ALPHV soja tokom perioda:
- Iskoristite aplikacije okrenute Internetu. One su obuhvatale niz ranjivosti, uključujući daljinsko izvršavanje koda, eskalacije privilegija i kontrole pristupa.
- Društveni inženjering. Korištene su različite tehnike društvenog inženjeringa, kao što su krađa identiteta, masovna zlonamjerna komunikacija kako bi se omogućilo hakerima da isporuče i izvrše zlonamjerni softver na daljinu.
- Malware-as-a-Service (MaaS). ALPHV podružnice su primijećene kako koriste MaaS Emotet kako bi pokrenule proboje sistema u prvoj fazi.
- Vanjske udaljene usluge. Napadači su iskoristili protokol udaljene radne površine (RDP) za pristup mrežama žrtava koristeći legitimne korisničke kredencijale.
- Kompromis u vožnji. Neke filijale su dobile pristup sistemu preko korisnika koji je posjetio web stranicu tokom normalnog toka pretraživanja, pri čemu se korisnikov web pretraživač obično iskorištava za eksploataciju.
- Važeći računi. Napadači su koristili kompromitovane kredencijale da zaobiđu kontrolu pristupa, uspostave postojanost, eskaliraju privilegije i izbjegnu otkrivanje.
Izvor: Infosecurity Magazine