Ransomware BlackCat

Geng ransomware Black Cat, juga dikenal sebagai ALPHV, telah mengkonfirmasi bahwa mereka adalah mantan anggota operasi ransomware BlackMatter/DarkSide yang terkenal kejam.

BlackCat/ALPHV adalah operasi ransomware kaya fitur baru yang diluncurkan pada November 2021 dan dikembangkan dalam bahasa pemrograman Rust, yang tidak biasa untuk infeksi ransomware.

Ransomware yang dapat dieksekusi sangat dapat disesuaikan, dengan metode dan opsi enkripsi berbeda yang memungkinkan serangan pada berbagai lingkungan perusahaan.

Banyak operasi ransomware dijalankan sebagai Ransomware-as-a-Service (RaaS), di mana anggota inti bertanggung jawab mengembangkan infeksi ransomware dan mengelola server, sementara afiliasi (alias "iklan") direkrut untuk menembus jaringan perusahaan dan melakukan serangan.

Sebagai bagian dari pengaturan ini, pengembang inti mendapatkan antara 10-30% dari pembayaran tebusan, sedangkan afiliasi mendapatkan sisanya. Persentase berubah berdasarkan berapa banyak pendapatan tebusan yang dibawa afiliasi tertentu ke operasi.

Meskipun ada banyak operasi RaaS di masa lalu, ada beberapa geng papan atas yang biasanya ditutup ketika penegak hukum kehabisan nafas dan kemudian berganti nama dengan nama baru.

Operasi Ransomware-as-a-Service tingkat atas ini dan rebranding mereka adalah:

• GandCrab to REvil: Operasi ransomware GandCrab diluncurkan pada Januari 2018 dan ditutup pada Juni 2019 setelah mengklaim mendapatkan $2 Miliar dalam pembayaran uang tebusan. Mereka diluncurkan kembali sebagai REvil pada September 2019, yang akhirnya ditutup pada Oktober 2021 setelah penegak hukum membajak infrastruktur mereka.
• Maze to Egregor: Ransomware Maze mulai beroperasi pada Mei 2019 dan secara resmi mengumumkan penutupannya pada Oktober 2020. Namun, afiliasi, dan kemungkinan operator, diyakini telah berganti nama pada September menjadi Egregor, yang kemudian menghilang setelah anggotanya ditangkap di Ukraina.
• DarkSide to BlackMatter: Operasi ransomware DarkSide diluncurkan pada Agustus 2022 dan ditutup pada Mei 2021 karena operasi penegakan hukum yang dipicu oleh serangan geng yang dipublikasikan secara luas di Colonial Pipeline. Mereka kembali sebagai BlackMatter pada 31 Juli tetapi segera ditutup pada November 2021 setelah Emsisoft mengeksploitasi kelemahan untuk membuat decryptor dan server disita.

Beberapa percaya bahwa Conti adalah rebrand dari Ryuk, tetapi sumber mengatakan kepada BleepingComputer bahwa keduanya adalah operasi terpisah yang dijalankan oleh Grup TrickBot dan tidak berafiliasi satu sama lain.

Sementara beberapa afiliasi cenderung bermitra dengan satu operasi RaaS, biasanya afiliasi dan penguji penetrasi bermitra dengan beberapa geng sekaligus.

Misalnya, afiliasi ransomware memberi tahu BleepingComputer bahwa mereka bekerja dengan Ragnar Locker, Maze, dan operasi ransomware REvil secara bersamaan.

Sejak ransomware BlackCat diluncurkan pada bulan November, perwakilan dari geng ransomware LockBit telah menyatakan bahwa ALPHV/BlackCat adalah rebrand dari DarkSide/BlackMatter.