กลุ่มแรนซัมแวร์ BlackCat หรือที่รู้จักในชื่อ ALPHV อ้างว่าได้ละเมิดระบบของ Namco Bandai ผู้เผยแพร่วิดีโอเกมชาวญี่ปุ่นที่อยู่เบื้องหลังเกมระดับ AAA เช่น Elden Ring และ Dark Souls
ข่าวดังกล่าวได้รับการรายงานครั้งแรกโดย Vx-underground และต่อมาโดยกลุ่มเฝ้าระวังมัลแวร์สองกลุ่ม (เปิดในแท็บใหม่) BlackCat เป็นหนึ่งในแรนซัมแวร์ที่ได้รับความนิยมมากที่สุดในโลก และได้รับความสนใจจาก Federal Breau of Investigation (FBI)
อย่างไรก็ตาม Namco Bandai ยังคงนิ่งเงียบในเรื่องนี้ ทำให้ยากต่อการยืนยันความถูกต้องของการอ้างสิทธิ์เหล่านี้
ในกากบาทของ FBI
ในเดือนเมษายน ปี 2022 FBI ได้ออกคำเตือนว่า BlackCat สายพันธุ์ "แรนซัมแวร์ตัวใหม่ที่มีความรุนแรง" ได้แพร่ระบาดไปยังองค์กรต่างๆ อย่างน้อย 60 แห่งภายในสองเดือน ในเวลานั้น FBI อธิบายว่า BlackCat เป็น "แรนซัมแวร์เป็นบริการ" และอ้างว่ามัลแวร์ของมันเขียนด้วยภาษา Rust
แม้ว่าแรนซั่มแวร์ส่วนใหญ่เขียนด้วยภาษา C หรือ C++ แต่ FBI กล่าวว่า Rust เป็น "ภาษาการเขียนโปรแกรมที่ปลอดภัยยิ่งขึ้น ซึ่งมอบประสิทธิภาพที่ดีขึ้นและการประมวลผลพร้อมกันที่เชื่อถือได้"
โดยทั่วไปแล้ว BlackCat จะเรียกร้องการชำระเงินเป็น Bitcoin และ Monero เพื่อแลกกับคีย์ถอดรหัส และแม้ว่าคำขอโดยทั่วไปจะ "เป็นล้าน" แต่ก็มักจะยอมรับการชำระเงินที่ต่ำกว่าคำขอเดิม ตามข้อมูลของ FBI
เห็นได้ชัดว่ากลุ่มนี้มีความสัมพันธ์ที่แน่นแฟ้นกับ Darkside และมี "เครือข่ายและประสบการณ์ที่กว้างขวาง" ในการใช้ประโยชน์จากการโจมตีของมัลแวร์และแรนซัมแวร์ (เปิดในแท็บใหม่)
หลังจากได้รับการเข้าถึงเบื้องต้นไปยังปลายทางเป้าหมาย กลุ่มจะดำเนินการประนีประนอมบัญชีผู้ใช้ Active Directory และผู้ดูแลระบบ และใช้ Windows Task Scheduler เพื่อกำหนดค่า Group Policy Objects (GPO) ที่เป็นอันตรายเพื่อปรับใช้แรนซัมแวร์
การใช้งานครั้งแรกใช้สคริปต์ PowerShell ร่วมกับ Cobalt Strike และปิดใช้งานคุณลักษณะด้านความปลอดภัยภายในเครือข่ายของเหยื่อ
หลังจากดาวน์โหลดและบล็อกข้อมูลให้มากที่สุดเท่าที่จะเป็นไปได้ กลุ่มจะมองหาการปรับใช้แรนซัมแวร์บนโฮสต์เพิ่มเติม
FBI แนะนำให้สแกนตัวควบคุมโดเมน เซิร์ฟเวอร์ เวิร์กสเตชัน และไดเรกทอรีที่ใช้งานอยู่สำหรับบัญชีผู้ใช้ใหม่หรือที่ไม่รู้จัก ทำการสำรองข้อมูลเป็นประจำ สแกนตัวกำหนดเวลางานสำหรับงานตามกำหนดการที่ไม่รู้จัก และขอข้อมูลประจำตัวของผู้ดูแลระบบสำหรับกระบวนการติดตั้งซอฟต์แวร์ใดๆ เพื่อเป็นมาตรการบรรเทา
นอกจากนี้ BlackCat ยังเพิ่งเข้าร่วมเครือข่ายกระจายอำนาจของ Conti ที่มีผู้มุ่งร้ายและโจมตีเซิร์ฟเวอร์ Microsoft Exchange ได้สำเร็จหลายครั้งเพื่อปรับใช้แรนซัมแวร์
ผ่าน: PCGamer (เปิดในแท็บใหม่)