Il ransomware più sofisticato dell'anno potrebbe essere ALPHV BlackCat, o più semplicemente BlackCat. Scoperto dai ricercatori di MalwareHunterTeam a fine novembre, si tratta una minaccia che mette a disposizione degli attaccanti un set altamente personalizzabile di funzionalità e che consente attacchi su una vasta gamma di ambienti aziendali.

Che si tratti di un prodotto fuori dagli schemi è evidente fin da subito, dato che è scritto in linguaggio Rust, che non è tipico degli sviluppatori di malware. Tuttavia, si tratta dell'ennesimo Ransomware-as-a-Service (RaaS) i cui operatori stanno reclutando affiliati sui forum di hacking in lingua russa.

Questi ultimi guadagneranno quote variabili in base all'ammontare dei riscatti pagati. Per riscatto fino a 1,5 milioni di dollari l'affiliato incassa l'80%, per riscatti fino a 3 milioni la percentuale all'85%, per quelli oltre i 3 milioni si arriva al 90%.

Funzioni avanzate

Nei messaggi promozionali, BlackCat viene descritto come un ransomware multipiattaforma, con il supporto garantito di tutte le versioni di Windows dalla 7 in poi (testato su 7, 8.1, 10, 11; 2008r2, 2012, 2016, 2019, 2022); XP e 2003 possono essere crittografati su SMB, ESXI (testato su 5.5, 6.5, 7.0.2u), Debian (testato su 7, 8, 9), Ubuntu (testato il 18.04, 20.04), ReadyNAS, Synology.

https://twitter.com/malwrhunterteam/status/1468713125457371139?s=20

BlackCat è gestito tramite riga di comando, è altamente configurabile e consente di sfruttare fino a quattro diverse routine di crittografia. La personalizzazione definisce la modalità di propagazione in rete, la disattivazione di macchine virtuali e VM ESXi e la cancellazione automatica degli snapshot ESXi per impedire il ripristino.

Ciascun eseguibile ALPHV include una configurazione JSON che consente anche di personalizzare le estensioni con cui vengono salvati i file crittografati, le note di riscatto, i dati che verranno crittografati (cartelle, file, estensioni, servizi esclusi, processi terminati, eccetera). Inoltre, gli operatori possono definire le credenziali di dominio che possono essere utilizzate per diffondere il ransomware. L'eseguibile viene estratto nella cartella %Temp%, copia il ransomware su altri dispositivi della rete target e lo esegue.

Una volta avviato il ransomware, l'attaccante ne ha il pieno controllo tramite un'interfaccia utente basata su console che permette di monitorare la progressione dell'attacco, interrompere i processi e i servizi di Windows che potrebbero impedire la crittografia dei file, cancellare le copie shadow, avviare la scansione di rete per individuare altri dispositivi, eccetera.

A lavoro terminato, le note di riscatto includono i tipi di dati rubati e il link al sito Tor di rivendicazione in cui le vittime possono visualizzare in anteprima i dati rubati. Ciascuna vittima viene collegata a un sito Tor unico su cui avverranno le trattative per il riscatto.

Le vittime che finora sono cadute nella morsa di BlackCat erano operative in Stati Uniti, Australia e India e hanno fronteggiato richieste di riscatto comprese fra 400.000 dollari e 3 milioni di dollari, da pagare in Monero o Bitcoin. Quest'ultima opzione prevede una commissione aggiuntiva del 15%.

Analogamente a molti altri RaaS, anche ALPHV applica la tattica della tripla estorsione: gli operatori rubano i dati prima di crittografare i dispositivi e minacciano di pubblicarli se non viene pagato un riscatto. Inoltre, se la vittima non è intenzionata a pagare vengono attuati attacchi DDoS fino a quando non cambia idea.