Hackerattacken mot Svenska kyrka tros vara utförd av Blackcat ransomvare och det finns hundratals andra organisationer som är drabbade. Svenska kyrkan har bekräftat att det var Blackcat som låg bakom attacken mot dem i slutet av november och att det kommit in krav. Attacken har lamslagit stora delar av kyrkans IT-system under flera veckor, och utpressarna har krävt att kyrkan betalar en lösensumma, vilket de har vägrat. Enligt en artikel i SvD ligger fortfarande hälften av Svenska kyrkans 500 system nere en och en halv månad efter angreppet. Cybergruppen som ligger bakom attacken sägs vara en av världens största när det gäller cyber brott.
FBI har nyligen gjort ett nedslag på hackarnätverket som har påverkat flera företag och organisationer runt om i världen
Nu utreder FBI Blackcat-ransomware och har skapat dekrypteringsverktyg. Amerikanska justitiedepartementet meddelade den 19:e decmeber att FBI framgångsrikt bröt sig in i ALPHV-ransomware-operationens servrar för att övervaka deras aktiviteter och få tag på dekrypteringsnycklar enligt Bleepingcomputer.
Den 19:e december publicerade CSA:
StopRansomware: ALPHV Blackcat
i samband med Blackcat-utpressningsprogrammet som en tjänst (RaaS). Ladda ner PDF
Den 7 december rapporterade BleepingComputer först att ALPHV, även känd som BlackCat, webbplatser plötsligt slutade fungera, inklusive ransomware-gängets Tor och dataläckagesidor på Darknet.
FBI har i tysthet övervaka ransomware-operationen i flera månader samtidigt som de hade dekrypteringsnycklar. Dessa dekrypteringsnycklar gjorde det möjligt för FBI att hjälpa 500 offer att återställa sina filer gratis, vilket sparat omkring 68 miljoner dollar i lösenkrav. Dessutom har FBI beslagtagit domänen för ALPHVs dataläckagesida, som nu visar en banderoll som säger att den beslagtogs i en internationell brottsbekämpningsoperation.
FBI säger att de beslagtog webbplatsen efter att ha fått de offentliga och privata nyckelparen för de Tor-dolda tjänsterna som webbplatsen opererade under, vilket gjorde det möjligt för dem att ta kontroll över URL:erna.
Pressmeddelandet säger att brottsbekämpningsinsatsen genomfördes av polis- och utredningsbyråer från USA, Europol, Danmark, Tyskland, Storbritannien, Nederländerna, Tyskland, Australien, Spanien och Österrike.
Vilka är Black cat?
BlackCat ransomware, även känd som ALPHV eller Noberus, är en relativt ny spelare på cyberbrottsscenen. Den dök först upp i november 2021 och skiljer sig från andra ransomware genom att den är skriven i programmeringsspråket Rust, vilket gör det möjligt att köra den på flera plattformar.
De riktar sig främst mot sektorer som finans, juridik, teknik, energi, hälsovård och tillverkning, med geografiska mål i Nordamerika, Oceanien, Östeuropa och Västeuropa. Huvudmotivet bakom dessa attacker tros vara finansiellt.
BlackCat-operatörerna bryter sig in i organisationers nätverk genom att utnyttja stulna åtkomstuppgifter. De samlar information, kartlägger nätverket och manipulerar konton för att få ytterligare tillgång. Därefter kan de inaktivera säkerhetssystem och radera säkerhetskopior innan de släpper lös ransomware på målsystemen. En intressant taktik som de använt är att skapa kopior av offrens webbplatser och posta stulen data på dessa när deras lösenkrav inte uppfylls.
Sårbarheter som används
BlackCat-operatörerna utnyttjar vanligtvis sårbarheter som CVE-2016-0099 (Windows OS), CVE-2019-7481 (SonicWall SMA100), CVE-2021-31207, CVE-2021-34473 och CVE-2021-34523 (alla tre i Microsoft Exchange Server).
Verktyg som används
För att utföra sina attacker använder BlackCat-operatörerna verktyg som ConnectWise för fjärråtkomst, AdFind för uppslagningar i Active Directory, ADRecon, SoftPerfect, Process Hacker, Mimikatz, telnet verktyget PSExec, RDP och det populära terminalprogrammet MobaXterm.
Affärsmodell
BlackCat fungerar enligt en Ransomware-as-a-Service (RaaS)-affärsmodell och rekryterar partners och affilieringar via cyberbrottsforum. Gruppen erbjuder upp till 80-90% av lösenbetalningen till sina affilierade, medan resten går till BlackCat-operatörerna.
Kopplingar till Ryssland?
Även om BlackCat inte direkt har kopplats till Ryssland, har vissa av dess metoder och taktiker likheter med andra ryska cyberbrottsgrupper. Dessutom har en representant för BlackCat erkänt att det finns kopplingar till andra stora ransomwaregrupper som REvil och LockBit, vilka har haft rysslandsanknytningar.
Svaret på FBI:s utredning
Ransomware-gänget påstod att FBI endast fick tillgång till dekrypteringsnycklarna för den senaste en och en halv månaden, vilket berör cirka 400 företag och organisationer. De sade dock att 3 000 andra offer nu kommer att förlora sina nycklar.
Blackcat har ökat affiliates andel av inkomsterna till 90 % av en betald lösen, troligen för att övertyga dem att inte byta till en konkurrerande ransomware-tjänst. De säger också att tar bort alla restriktioner för affiliates vilket gör att de kan rikta in sig på vilken organisation de vill, inklusive kritisk infrastruktur som sjukhus och kärnkraftverk. De är fortfarande begränsade från att attackera länder i Oberoende staters samvälde (OSS), som tidigare var en del av Sovjetunionen.
Källor:
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-353a
https://cyware.com/resources/research-and-analysis/the-rise-of-blackcat-ransomware-a-dark-tale-of-cybercrime-f2fa