ALPHV, più noto come BlackCat, è il primo gruppo di criminali informatici ransomware a utilizzare malware creati con il linguaggio di programmazione Rust. Il nuovo malware è pubblicizzato su due forum underground ed è già stato utilizzato in attacchi reali.
Come notato dai ricercatori di Recorded Future e MalwareHunterTeam, ALPHV è tecnicamente il terzo ransomware scritto in Rust, ma il primo a essere utilizzato e attivo attualmente in attacchi reali. Il primo era un malware sperimentale rilasciato nel 2020 su GitHub e il secondo era l’ormai defunto malware BadBeeTeam sviluppato lo stesso anno.
Gli esperti di sicurezza suggeriscono che gli sviluppatori di ALPHV erano precedentemente probabili membri del gruppo REvil. Gli operatori di ALPHV hanno pubblicizzato l’omonimo Ransomware-as-a-Service (RaaS) in due forum del settore (XSS ed Exploit), invitando altri a unirsi agli attacchi con riscatto mirando contro le grandi aziende.
Le funzionalità del malware includono la capacità di crittografare i dati su sistemi che eseguono Windows, Linux e VMWare eSXI.
Agli affiliati vengono offerte entrate che vanno dall’80% al 90% del buyout finale.
Indice degli argomenti
Perché BlackCat usa il linguaggio Rust
Rust è un linguaggio di programmazione multi-paradigma, sviluppato da Mozilla nel 2010, che mira a raggiungere prestazioni più elevate e migliori livelli di sicurezza rispetto al C++. Rust è stato il linguaggio più amato su Stack Overflow per cinque anni consecutivi. Per questi motivi, probabilmente, anche gli sviluppatori di malware stanno cercando di sviluppare malware utilizzando Rust.
In effetti, MaaS (Malware-as-a-service) basati su Rust come RustyBuer e FickerStealer sono apparsi sul Dark Web, in tempi abbastanza recenti.
Analisi concreta del ransomware BlackCat
Diversi ricercatori, come MalwareHunterTeam (sopra citato) negli ultimi giorni hanno pubblicato una serie di dettagli che ci consentono di portare avanti un’analisi che può essere di aiuto a comprendere il funzionamento di questo ransomware e saperlo riconoscere.
Qui di seguito un esempio di come si presentano le note di riscatto rilasciate sul sistema infettato:
Dal punto di vista della struttura, questo malware si fa notare anche per importanti similitudini con altri già noti. BlackCat, come tanti altri RaaS, per effettuare le proprio azioni dannose, si basa su dei parametri di configurazione interni (in tutto sono stati identificati 21 parametri diversi). Di questa lista di parametri, però, 5 sono stati riconosciuti come identici a quelli del ransomware BlackMatter:
- kill_services
- kill_processes
- exclude_directory_names
- exclude_file_names
- exclude_file_extensions
e un campo di configurazione del tipo “credentials” viene utilizzato anche da BlackMatter V1 e DarkSide. In questo campo, vengono memorizzate le credenziali di dominio della vittima.
Nonostante questo ci sono però anche dei dettagli che fanno capire che non si può (almeno non oggi) identificare i due gruppi come composti dalle stesse menti.
I due ransomware sono troppo simili: quando si fece ricondurre DarkSide al gruppo FIN7 e convertito in BlackMatter, questi ultimi avevano una configurazione composta da parametri completamente differenti tra loro (si può dire quasi al 100% differente), mentre invece BlackCat ha ereditato, pari pari, un quarto dei parametri di BlackMatter.
Come abbiamo già appurato, BlackCat è scritto in Rust e BlackMatter è basato su C/C++.
Ci sono anche anomalie temporali, che saltano fuori su questa analisi: infatti, sembrerebbe troppo preso per un rebranding di BlackMatter. DarkSide è stato dismesso dopo 10 mesi di attività (agosto 2020 – maggio 2021) per aver poi avviato (dopo tre mesi dalla cessazione, agosto 2021) il successore BlackMatter che è in vita da appena 4 mesi, ipotizzandone la fine negli ultimi giorni di novembre 2021 coincidente appunto con la comparsa del nuovo BlackCat.
Il ciclo di vita così esposto è decisamente irregolare e privo di un intuitivo collegamento riconducibile alla connessione dei due gruppi.
Ancora, a differenza di DarkSide e BlackMatter che utilizzavano due o tre opzioni, BlackCat supporta un numero decisamente elevato di opzioni:
I siti di leaks
Come ogni gruppo ransomware che si rispetti, anche BlackCat ha dei siti web accessibili e non per la gestione delle vittime e dei loro dati.
Mentre DarkSide e BlackMatter prevedevano l’ingresso al proprio sito di negoziazione sempre tramite compilazione di un form che richiedeva la chiave d’accesso, BlackCat contiene tale chiave direttamente come parametro GET dell’URL che viene fornito alla vittima.
Di seguito, riportiamo l’ingresso al sito negoziazione di BlackMatter e a seguire quello al sito di negoziazione di BlackCat:
Sono stati identificati 5 domini onion (accessibili quindi tramite rete Tor) appartenenti al gruppo ransomware BlackCat. Tre sono dedicati alla negoziazione del riscatto con le vittime. Due sono invece i siti dedicati all’esposizione dei leaks (vetrine), una privata, utilizzata nella fase iniziale dei primi attacchi effettuati, ora dismesso e non più accessibile, ma interamente sostituito da quello pubblico, accessibile nel Dark Web senza limitazioni degli accessi, denominato appunto Alphv leak site.
Allo stato attuale sul sito pubblico si contano due vittime esposte da BlackCat, le cui analisi hanno fatto datare tra il 18 e il 25 novembre 2021 la compilazione del software malware, al 4 dicembre la registrazione dell’account sui forum Exploit e XSS con relativi annunci per la ricerca di personale esperto in pentesting, all’8 dicembre la pubblicazione su XSS del link al proprio sito vetrina pubblico (Alphv, diffuso lo stesso giorno dal gruppo ArvinClub su Telegram), al 9 dicembre la pubblicazione sul sito Alphv della loro seconda vittima e nuovo annuncio su altro forum (stavolta RAMP) alla ricerca di personale affiliabile.
