Ransomware BlackCat

Geng ransomware Black Cat, juga dikenal sebagai ALPHV, telah mengkonfirmasi bahwa mereka adalah mantan anggota operasi ransomware BlackMatter/DarkSide yang terkenal kejam.

BlackCat/ALPHV adalah operasi ransomware kaya fitur baru yang diluncurkan pada November 2021 dan dikembangkan dalam bahasa pemrograman Rust, yang tidak biasa untuk infeksi ransomware.

Ransomware yang dapat dieksekusi sangat dapat disesuaikan, dengan metode dan opsi enkripsi berbeda yang memungkinkan serangan pada berbagai lingkungan perusahaan.

Banyak operasi ransomware dijalankan sebagai Ransomware-as-a-Service (RaaS), di mana anggota inti bertanggung jawab mengembangkan infeksi ransomware dan mengelola server, sementara afiliasi (alias "iklan") direkrut untuk menembus jaringan perusahaan dan melakukan serangan.

Sebagai bagian dari pengaturan ini, pengembang inti mendapatkan antara 10-30% dari pembayaran tebusan, sedangkan afiliasi mendapatkan sisanya. Persentase berubah berdasarkan berapa banyak pendapatan tebusan yang dibawa afiliasi tertentu ke operasi.

Meskipun ada banyak operasi RaaS di masa lalu, ada beberapa geng papan atas yang biasanya ditutup ketika penegak hukum kehabisan nafas dan kemudian berganti nama dengan nama baru.

Operasi Ransomware-as-a-Service tingkat atas ini dan rebranding mereka adalah:

• GandCrab to REvil: Operasi ransomware GandCrab diluncurkan pada Januari 2018 dan ditutup pada Juni 2019 setelah mengklaim mendapatkan $2 Miliar dalam pembayaran uang tebusan. Mereka diluncurkan kembali sebagai REvil pada September 2019, yang akhirnya ditutup pada Oktober 2021 setelah penegak hukum membajak infrastruktur mereka.
• Maze to Egregor: Ransomware Maze mulai beroperasi pada Mei 2019 dan secara resmi mengumumkan penutupannya pada Oktober 2020. Namun, afiliasi, dan kemungkinan operator, diyakini telah berganti nama pada September menjadi Egregor, yang kemudian menghilang setelah anggotanya ditangkap di Ukraina.
• DarkSide to BlackMatter: Operasi ransomware DarkSide diluncurkan pada Agustus 2022 dan ditutup pada Mei 2021 karena operasi penegakan hukum yang dipicu oleh serangan geng yang dipublikasikan secara luas di Colonial Pipeline. Mereka kembali sebagai BlackMatter pada 31 Juli tetapi segera ditutup pada November 2021 setelah Emsisoft mengeksploitasi kelemahan untuk membuat decryptor dan server disita.

Beberapa percaya bahwa Conti adalah rebrand dari Ryuk, tetapi sumber mengatakan kepada BleepingComputer bahwa keduanya adalah operasi terpisah yang dijalankan oleh Grup TrickBot dan tidak berafiliasi satu sama lain.

Sementara beberapa afiliasi cenderung bermitra dengan satu operasi RaaS, biasanya afiliasi dan penguji penetrasi bermitra dengan beberapa geng sekaligus.

Misalnya, afiliasi ransomware memberi tahu BleepingComputer bahwa mereka bekerja dengan Ragnar Locker, Maze, dan operasi ransomware REvil secara bersamaan.

Sejak ransomware BlackCat diluncurkan pada bulan November, perwakilan dari geng ransomware LockBit telah menyatakan bahwa ALPHV/BlackCat adalah rebrand dari DarkSide/BlackMatter.

The Record menerbitkan sebuah wawancara dengan geng ALPHV/BlackCat, yang mengkonfirmasi kecurigaan bahwa mereka berafiliasi dengan geng DarkSide/BlackMatter.

"Sebagai iklan darkmatter [DarkSide / BlackMatter], kami mengalami intersepsi korban untuk dekripsi berikutnya oleh Emsisoft," kata ALPHV kepada The Record, merujuk pada rilis decryptor Emsisoft.

Sementara operator ransomware BlackCat mengklaim bahwa mereka hanya afiliasi DarkSide/BlackMatter yang meluncurkan operasi ransomware mereka sendiri, beberapa peneliti keamanan tidak membelinya.

Analis ancaman Emsisoft, Brett Callow, yakin BlackMatter mengganti tim pengembang mereka setelah Emsisoft mengeksploitasi kelemahan yang memungkinkan korban memulihkan file mereka secara gratis dan kehilangan uang tebusan jutaan dolar dari geng ransomware.

"Sementara Alphv mengklaim sebagai mantan afiliasi DS/BM, kemungkinan besar mereka *adalah* DS/BM tetapi berusaha menjauhkan diri dari merek itu karena pukulan reputasi yang diperlukan setelah membuat kesalahan yang merugikan afiliasi jutaan dolar, "Callow tweeted kemarin.

Di masa lalu, adalah mungkin untuk membuktikan bahwa operasi ransomware yang berbeda terkait dengan mencari kesamaan kode dalam kode penyandi.

Karena encryptor BlackCat telah dibuat dari awal dalam bahasa pemrograman Rust, Fabian Wosar dari Emsisoft mengatakan kepada BleepingComputer bahwa kesamaan pengkodean ini tidak ada lagi.

Namun, Wosar mengatakan bahwa ada kesamaan dalam fitur dan file konfigurasi, mendukung bahwa itu adalah kelompok yang sama di belakang operasi ransomware BlackCat dan DarkSide/BlackMatter.

Terlepas dari apakah mereka hanya afiliasi masa lalu yang memutuskan untuk meluncurkan operasi ransomware mereka sendiri atau mengubah citra DarkSide/BlackMatter, mereka telah terbukti mampu melakukan serangan perusahaan besar dan dengan cepat mengumpulkan korban.

BlackCat akan menjadi operasi ransomware yang harus diawasi oleh semua penegak hukum, pembela jaringan, dan profesional keamanan.

Ironisnya, apa yang menyebabkan jatuhnya operasi DarkSide/BlackMatter pada akhirnya bisa menjadi penyebab kematian cepat BlackCat/ALPHV.

Setelah DarkSide menyerang Colonial Pipeline, pipa bahan bakar terbesar di Amerika Serikat, ia mulai merasakan tekanan penuh dari penegak hukum internasional dan pemerintah AS.

Tekanan ini berlanjut setelah mereka berganti nama menjadi BlackMatter, dengan penegak hukum menyita server mereka dan menyebabkan mereka ditutup kembali.

Apa yang mungkin mendorong ransomware BlackCat menjadi sorotan ironisnya adalah serangan lain terhadap pemasok minyak dan perusahaan distribusi, yang mengarah ke masalah rantai pasokan.

Minggu ini, BlackCat menyerang Oiltanking, distributor bensin Jerman, dan Mabanaft GmbH, pemasok minyak.

Serangan ini sekali lagi mempengaruhi rantai pasokan bahan bakar dan menyebabkan kekurangan gas.

Operator BlackCat, bagaimanapun, mengatakan kepada The Record bahwa mereka tidak dapat mengontrol siapa yang menyerang afiliasi mereka dan melarang mereka yang tidak mematuhi kebijakan geng. Kebijakan ini menyatakan bahwa afiliasi tidak boleh menargetkan lembaga pemerintah, layanan kesehatan, atau lembaga pendidikan.

Namun, tampaknya geng Darkside tidak belajar dari kesalahan mereka sebelumnya dan sekali lagi menyerang infrastruktur penting, yang kemungkinan besar akan menempatkan mereka di garis bidik penegakan hukum.

• bleepingcomputer.com