Il gruppo ALPHV descritto e illustrato nei suoi dettagli dal nostro cybersecurity specialist Simone Fratus: come opera, modello di business e affiliazione, tecniche di estorsione, concorrenza e gli strumenti che utilizza
ALPHV (aka BlackCat) è un operatore Ransomware-as-a-Service (RaaS). Il gruppo, indicato anche come ALPHV o BlackCat, ha fatto notizia nel 2021 e nel 2022 a causa
del numero di organizzazioni che ha colpito
del suo schema di estorsioni quadruplo
del suo uso insolito del linguaggio di programmazione Rust e
della sua pubblicazione di dati consultabili presso il loro portale.
ALPHV (aka BlackCat, Noberus, AlphaVM e AphaV) è un ransomware, ma questi nomi sono usati anche per il gruppo di lingua russa dietro il ransomware che ha compromesso oltre 100 organizzazioni.
Tali organizzazioni includono ad esempio: OilTanking GmbH (una società di carburante tedesca), Swissport (una società di aviazione svizzera), Moncler (un'azienda di moda italiana) e Bandai Namco (un'azienda giapponese di giochi e giocattoli), e molte altre.
ALPHV è stato associato ai gruppi di ransomware DarkSide (che ha colpito la Colonial Pipeline) e BlackMatter (un rebranding di DarkSide) a causa di progetti simili, sviluppatori condivisi e riciclatori di denaro e dichiarazioni di un rappresentante LockBit sui forum dei criminali informatici. ALPHV potrebbe non essere un rebrand di BlackMatter, ma sembra includere persone che in precedenza erano membri di BlackMatter e DarkSide.
ALPHV ha colpito organizzazioni nei settori dell'energia, della finanza, dei servizi legali e della tecnologia.
Il RaaS utilizza uno schema di “quadrupla estorsione”:
Crittografia: le vittime devono pagare per riottenere l'accesso ai dati e ai sistemi crittografati.
Furto di dati: vengono rilasciati i dati sensibili se non ricevono un riscatto.
Denial of Service (DoS): l'operatore lancia attacchi DoS che fanno crollare i siti Web pubblici della vittima.
Molestie: azioni di "black-mail" dove informano i clienti, i partner commerciali e i dipendenti della vittima e i media della violazione.
ALPHV ha lanciato un sito Web chiamato ALPHV Collections che rende i dati esfiltrati facilmente visualizzabili e ricercabili. Questo sito è disponibile direttamente in "clear web", non nella "Darknet", a differenza di molti siti di fuga di altri gruppi di ransomware.
I membri dell'ALPHV parlano russo, ma le loro posizioni esatte sono sconosciute e potrebbero trovarsi in più nazioni.
In base al loro modello di business e delle elevate richieste di riscatto (fino a $ 2,5 milioni), sembra che ALPHV sia un gruppo estremamente motivato finanziariamente.
ALPHV si distingue per il fatto che il suo ransomware è scritto nel linguaggio di programmazione Rust, considerato più sicuro di altri linguaggi, mentre la maggior parte dei ransomware è scritta in JavaScript o C++. L'uso di Rust viene usato anche per migliorare il ransomware stesso nell'evasione e nel rilevamento, evitando somiglianze di codice con altri malware oltre che per avere prestazioni migliori.
Poiché il ransomware ALPHV è un RaaS, viene utilizzato da molti operatori affiliati. Il malware ottiene l'accesso iniziale utilizzando credenziali utente precedentemente rubate (accessi legittimi acquistati attraverso l'uso di Initial Access Broker) o sfruttando server Microsoft Exchange privi di patch. Utilizza script PowerShell, strumenti di amministrazione di Windows, strumenti Microsoft Sysinternals e Cobalt Strike. Il malware elude e disabilita le difese di sicurezza tradizionali utilizzando techniche di evasione. Compromette gli account utente e amministratore di Active Directory. Utilizza il Windows Task Scheduler per configurare GPO e mantenere la sua persistenza.
Il malware esfiltra i dati dai sistemi on-premise e dai sistemi cloud prima di eseguire il la cifratura dei dati, quindi richiede alla vittima di pagare un riscatto per lo strumento di decrittazione e per prevenire la pubblicazione dei dati rubati.
Dopo l'esfiltrazione e la crittografia di file e dati, ALPHV lascia dietro di sé una nota di riscatto personalizzata. La nota descrive in dettaglio la quantità e il tipo di dati rubati, le istruzioni per contattare il gruppo ransomware e recuperare i dati e un URL per il suo sito web di perdita di dati, in cui i file rubati verranno rilasciati se le richieste di riscatto non vengono soddisfatte.
Indipendentemente dall'affiliato dietro l'attacco, tutte le vittime vengono indirizzate al sito di ALPHV per le fasi di negoziazioni del riscatto. Gli affiliati hanno richiesto pagamenti di riscatto di diversi milioni di dollari in Bitcoin e Monero, sebbene abbiano accettato pagamenti ridotti.
Il programma di affiliazione
Una delle prime apparizioni pubbliche del gruppo ALPHV è stata fatta sul forum RAMP nel dicembre 2021, dove un rappresentante del gruppo ha iniziato a reclutare affiliati. In questo post, l'operatore ALPHV ha pubblicizzato il nuovo programma partner RaaS "ALPHV-ng (New Generation)", che ha descritto come la prossima generazione di ransomware.
Il ransomware era stato scritto da zero e ha molte funzionalità, tra cui:
Quattro modalità di crittografia: completa, veloce, DotPattern e Auto. Utilizza i due algoritmi di crittografia ChaCha20 e AES.
Infrastruttura segmentata con nodi interconnessi e situati dietro “NAT + FW”. L'infrastruttura è configurata in modo che gli aggressori non rivelino i veri indirizzi IP dei loro server quando ricevono cmdshell.
Funziona su diverse piattaforme tra cui varie versioni di Linux (ESXI, Debian, Ubuntu e ReadyNas) e tutte le versioni di Windows 7 e versioni successive.
Generato un dominio unico .onion per ogni vittima
Il rappresentante, nel suo post su RAMP, ha anche affermato che ALPHV aveva risolto delle lacune che altre varianti di ransomware come LockBit, REvil e Continon avevano fatto in precedenza.
Nel post si fa menzione anche concetto di monitoraggio delle performance affermando che il gruppo non tollererebbe l'inattività. Qualsiasi affiliato che non abbia svolto alcuna attività per due settimane avrebbe avuto il suo account congelato e successivamente cancellato. Inoltre, è stato severamente vietato prendere di mira i paesi della regione della Comunità degli Stati Indipendenti (CSI), tra cui anche Cina, Taiwan, Hong Kong e Turchia.
Il tasso di pagamento per gli affiliati è stato descritto come dinamico e dipende dall'importo di un singolo pagamento da ciascuna società:
Per i pagamenti di riscatto fino a 1,5 milioni di dollari, gli affiliati guadagnano l'80% del riscatto finale.
Per i pagamenti di riscatto fino a 3 milioni di dollari, gli affiliati guadagnano l'85% del riscatto finale.
Per i pagamenti di riscatto superiori a 3 milioni di dollari, gli affiliati guadagnano il 90% del riscatto finale.
ALPHV ha continuato con i suoi sforzi di reclutamento da allora, facendo altri post alla ricerca di pentester esperti. Nel marzo 2022 vi è stato un post specifico per la ricerca di broker di accesso iniziale (IAB). Il principale metodo di comunicazione e reclutamento del gruppo è rimasto il forum dei criminali informatici RAMP, che è un forum in lingua russa incentrato sul ransomware.
Il programma di affiliazione ha ricevuto feedback positivi dagli utenti su RAMP. Digital Shadows ha osservato molti utenti su RAMP parlare molto della professionalità del gruppo e dell'efficacia dei suoi strumenti. Ad esempio, un utente ha dichiarato che ALPHV ransomware era un "software di qualità molto alta, comodo e veloce" e "il miglior" programma partner con cui abbia mai lavorato. Tuttavia, altri utenti erano più scettici e hanno avvertito che ALPHV non era un programma partner per principianti.
Tattiche di estorsione
Recentemente (giugno 2022) il gruppo è tornato alla ribalta pechè ha creato un sito dedicato pubblicando i dati di una delle sue vittime. Il sito era rivolto ai dipendenti e agli ospiti di una catena alberghiera che era stato attaccata e permetteva loro di vedere se i loro dati personali erano trapelati. La nuova tattica è stata progettata per creare ulteriore pressione sulla vittima affinché paghi il riscatto.
Concorrenza
ALPHV sembra essere in competizione in modo significativo con LOCKBIT e CONTI, i quali hanno fatto diversi post menzionando il gruppo ALPHV "truffatori". Probabilmente, la dichiarazione era correlata ad alcuni conflitti e problemi tra intermediari di accesso iniziale (IAB), affiliati e membri del team che potrebbero essere associati a entrambi i progetti in fasi diverse.
ALPHV è stato associato ad altri due gruppi di ransomware: DarkSide e BlackMatter. Le sovrapposizioni di design tra ALPHV e DarkSide hanno suscitato voci secondo cui ALPHV era un rebranding di DarkSide in seguito all'attacco di alto profilo di quest'ultimo all'oleodotto Colonial Pipeline.
Sui forum clandestini, un rappresentante del ransomware LockBit ha anche avviato discussioni per affermare che ALPHV era un rebranding dei programmi DarkSide e BlackMatter RaaS. Informazioni in seguito smentite dal gruppo ALPHV cheha negato di essere un rebranding di DarkSide o BlackMatter ma è certo che gli sviluppatori e i riciclatori di denaro di ALPHV sono collegati a DarkSide/BlackMatter, secondo l'FBI. Pertanto, mentre ALPHV potrebbe non essere un rebranding, è probabile che il gruppo abbia reclutato molti membri da queste bande di ransomware ora inattive.
Strumenti
Nell'arsenale di BlackCat vi sono più strumenti per le intrusioni di rete e il post-sfruttamento mirati ad Active Directory, come ad esempio:
ADRecon, strumento di ricognizione di rete per ambiente Windows;
Cobalt Strike, framework post-sfruttamento;
Strumento PsExec per i movimenti laterali nella rete della vittima;
Mimikatz, noto software hacker;
Software Nirsoft per estrarre le password di rete.
A causa di un numero significativo di affiliati e broker di accesso iniziale (IAB) indipendenti che collaborano con il gruppo BlackCat, gli strumenti continuano a variare.
Una delle caratteristiche del loro ransomware è la capacità di bypassare l'UAC, il che significa che il payload verrà eseguito correttamente anche se viene eseguito da un contesto non amministrativo. Se il ransomware non viene eseguito con privilegi amministrativi, esegue un processo secondario in dllhost.exe con autorizzazioni sufficienti per crittografare il numero massimo di file sul sistema.
Comments