Już przed i w trakcie wojny na Ukrainie zaobserwowano wzmożoną aktywność hakerów. BlackCat to nowa i rozwijająca się grupa oprogramowania ransomware-as-a-service (RaaS), która w ciągu ostatnich kilku miesięcy atakowała kilka organizacji na całym świecie. Pojawiają się również informacje o związku między BlackCat a grupami BlackMatter/DarkSide, odpowiedzialnymi za atak na rurociąg Colonial Pipeline w zeszłym roku. Zrozumienie technik, narzędzi i sposobów działania cyberprzestępców wykorzystujących RaaS pomaga wykrywać i zapobiegać atakom, w przypadku których każda sekunda oznacza utratę danych.

Jak wskazują eksperci Cisco Talos oprogramowanie ransomware BlackCat, znane również jako „ALPHV”, szybko zyskało rozgłos z powodu wykorzystywania go w atakach, gdzie organizacje były podwójnie szantażowane. Z jednej strony cyberprzestępcy żądali okupu za odszyfrowanie danych, z drugiej za nieujawnienie treści skradzionych plików.

Zobacz również:

• Ransomware - liczba ataków spada, ale są bardziej kosztowne
• Ministerstwo Cyfryzacji ostrzega przed rosnącym zagrożeniem atakami DDoS

Pojawienie się BlackCat jest również dowodem na ewolucję grup cyberprzestępców. W tym przypadku składa się ona z osób, które mają doświadczenie w wykorzystywaniu RaaS, a kolejne ataki są planowane w oparciu o wiedzę zdobytą podczas działalności w innych grupach. Podwójny szantaż jest z tej perspektywy przykładem ekspansji „biznesowej”, mającej na celu dodanie kolejnego źródła przychodów. Samo oprogramowanie jest wciąż ulepszane i dopasowywane do potrzeb konkretnego ataku. Ransomware nie jest wolne od błędów i zdarzają się przypadki, gdy organizacjom udaje się wykorzystać luki, aby odszyfrować pliki bez płacenia okupu.

Ataki przeprowadzane przez tę samą rodzinę oprogramowania ransomware mogą różnić się technikami i procedurami. Cyberprzestępcy korzystający z RaaS są znani z tego, że udostępniają materiały szkoleniowe oraz informacje o ogólnych technikach i narzędziach, takie jak te, które zebrano w poradniku dotyczącym oprogramowania ransomware Conti. Jak czytamy na blogu Cisco, dokument został niedawno odkryty przez specjalistów ds. cyberbezpieczeństwa.

Cyberprzestępcy niekiedy działają na zlecenie rządów, a dokonywanie przez nich ataki mają na celu destabilizację sytuacji w danym kraju (od dawna o takie działania oskarżane są m.in. Chiny i Białoruś).

Eksperci Cisco Talos monitorują sytuację na Ukrainie, aby zapewnić wsparcie partnerom oraz klientom. Działania Cisco obejmują dystrybucję nowych zabezpieczeń Cisco w oparciu o wyniki badań i analizę złośliwego oprogramowania, wprowadzenie wewnętrznego systemu zarządzania kryzysowego w celu usprawnienia wymiany informacji z krajowymi i międzynarodowymi partnerami prowadzącymi działania wywiadowcze, w tym Narodową Policja Ukrainy.

Obecnie obserwujemy sytuację, w której cyberprzestępcy zawierają sojusze mające na celu destabilizację sytuacji w Rosji, co stanowi odwet za zbrojną napaść na Ukrainę. Przykład stanowi organizacja o nazwie „IT Army”. Niestety nie brakuje również osób chcących zarobić na wojnie w Ukrainie. Eksperci Cisco Talos ostrzegali niedawno, że oprogramowanie wykorzystywane przez IT Army do ataków DDoS na rosyjską infrastrukturę może zawierać malware. To oznacza, że osoba, która z niego skorzysta sama padnie ofiarą ataku i może stracić cenne dane.

Zdaniem ekspertów Cisco Talos najskuteczniejszą bronią w walce ze zorganizowanymi grupami wykorzystującymi ransomware są współpraca i wymiana informacji. Obecnie, gdy cyberataki stanowią element wojny w Ukrainie, wsparcie administracji publicznej przez ekspertów z obszaru IT ma kluczowe znaczenie.