Ένα εργαλείο κλοπής δεδομένων που χρησιμοποιείται από την ομάδα ransomware που παρακολουθείται ως BlackCat, ALPHV και Noberus, υποδηλώνει ότι οι εγκληματίες του κυβερνοχώρου ενδιαφέρονται όλο και περισσότερο να στοχεύουν βιομηχανικούς οργανισμούς.
Η BlackCat , η οποία λειτουργεί με το μοντέλο ransomware-as-a-service (RaaS), εμφανίστηκε τον Νοέμβριο του 2021 και έκτοτε έχει στοχεύσει οργανισμούς σε όλο τον κόσμο, συμπεριλαμβανομένων πολλών στις Ηνωμένες Πολιτείες.
Αρκετές εταιρείες κυβερνοασφάλειας έχουν βρει συνδέσμους μεταξύ της BlackCat και των λειτουργιών ransomware BlackMatter και DarkSide. Φαίνεται ότι η ομάδα BlackCat αποτελείται από διάφορες θυγατρικές του ομίλου RaaS, συμπεριλαμβανομένου του BlackMatter, αντί να είναι μια αλλαγή επωνυμίας του BlackMatter.
Σε μια ανάρτηση ιστολογίου που δημοσιεύτηκε την Πέμπτη, η Kaspersky παρείχε επίσης πληροφορίες σχετικά με τη σύνδεση μεταξύ BlackMatter και BlackCat, εστιάζοντας σε ένα εργαλείο εξαγωγής δεδομένων που ονομάζεται Fendr και ExMatter.
Το Fendr περιγράφηκε από τη Symantec πέρυσι ως ένα προσαρμοσμένο εργαλείο εξαγωγής δεδομένων που επέτρεψε στους χειριστές BlackMatter να κλέβουν εύκολα δεδομένα αξίας από παραβιασμένα συστήματα. Το εργαλείο, που προηγουμένως εμφανιζόταν μόνο σε επιθέσεις BlackMatter, έχει σχεδιαστεί για να συλλέγει συγκεκριμένους τύπους αρχείων και να τους ανεβάζει στους διακομιστές των εγκληματιών του κυβερνοχώρου πριν από την ανάπτυξη ransomware με κρυπτογράφηση αρχείων. Τα κλεμμένα δεδομένα μπορούν στη συνέχεια να χρησιμοποιηθούν για να πιέσουν το θύμα να πληρώσει.
Σε μια πρόσφατη επίθεση της BlackCat σε μια εταιρεία πετρελαίου, φυσικού αερίου, εξόρυξης και κατασκευών στη Νότια Αμερική, οι χάκερ ανέπτυξαν μια έκδοση του εργαλείου Fendr. Ωστόσο, σε σύγκριση με το εργαλείο που εντοπίστηκε στις επιθέσεις BlackMatter, αυτό είχε στοχεύσει ορισμένους πρόσθετους τύπους αρχείων, ειδικά αυτούς που βρίσκονται συνήθως σε βιομηχανικά περιβάλλοντα.
«Αυτές οι πρόσθετες επεκτάσεις αρχείων χρησιμοποιούνται σε εφαρμογές βιομηχανικού σχεδιασμού, όπως σχέδια CAD και ορισμένες βάσεις δεδομένων, καθώς και ρυθμίσεις διαμόρφωσης RDP, κάνοντας το εργαλείο πιο προσαρμοσμένο στα βιομηχανικά περιβάλλοντα που βλέπουμε να στοχεύονται από αυτήν την ομάδα», εξήγησε.
Το γεγονός ότι μια συμμορία ransomware ενδιαφέρεται για βιομηχανικές εταιρείες δεν προκαλεί έκπληξη και τόσο οι κυβερνήσεις και οι εταιρείες κυβερνοασφάλειας έχουν προειδοποιήσει τους οργανισμούς ότι το ransomware αποτελεί αυξανόμενη απειλή για τα βιομηχανικά συστήματα.
Σε μια έκθεση που δημοσιεύθηκε τον Φεβρουάριο, η εταιρεία βιομηχανικής ασφάλειας στον κυβερνοχώρο Claroty είπε ότι το ransomware συχνά χτυπά συστήματα βιομηχανικού ελέγχου (ICS) ή άλλα περιβάλλοντα επιχειρησιακής τεχνολογίας (OT) και ο αντίκτυπος είναι συχνά σημαντικός.