باج‌افزار BlackCat؛ محصول گروهی جهان‌دیده

گروه ALPHV در حال تبلیغ باج‌افزاری متفاوت با نام BlackCat در قالب خدمات موسوم به Ransomware-as-a-Service یا همان RaaS است.

در ماه‌های اخیر، حداقل یک شرکت فعال در حوزه ERP در خاورمیانه و یک سازمان صنعتی در آمریکای جنوبی قربانی حملات باج‌افزار BlackCat بوده‌اند.

گروه ALPHV

ALPHV در تبلیغات خود، BlackCat را بهترین جایگزین برای باج‌افزارهای BlackMatter و REvil معرفی می‌کند. سال گذشته و در پی حملات گسترده، مخرب و بی‌سابقه به زیرساخت‌های ایالات متحده، فعالیت این دو باج‌افزار با دخالت دولت روسیه متوقف شد.

همچنین این گروه مدعی است که با بهره‌گیری از تجارب گذشته، چه در کدنویسی و چه در طراحی زیرساخت BlackCat تمامی خطاها و اشتباهاتی که در نهایت منجر به تعطیلی باج‌افزارهای قبلی شده را پوشش داده است.

برخی محققان، ALPHV و باج‌افزار آن – BlackCat – را برندی نو در صنعت باج‌افزار معرفی کرده‌اند.

شرکت Kaspersky در گزارشی که روز گذشته آن را منتشر کرد این طور نتیجه‌گیری کرده که برخی اعضای ALPHV از گردانندگان سابق BlackMatter هستند.

گروه ALPHV، در حملات اخیرش از نسخه به‌روز شده Fendr بهره برده است. استفاده از این ابزار اختصاصی، پیش‌تر در انحصار BlackMatter بود. Fendr که با نام ExMatter نیز شناخته می‌شود ابزاری برای استخراج اطلاعات قربانیان است.

این نسخه Fendr – در مقایسه با نسخه BlackMatter – فایل‌های بیشتری را که عمدتا در سازمان‌های صنعتی کاربرد دارند استخراج می‌کند. احتمالا نشانه‌ای از علاقه این گروه به زیرساخت‌های صنعتی.

برنامه‌نویسی با زبانی غیرمتداول

نکته قابل توجه اینکه ALPHV باج‌افزار BlackCat را با زبان برنامه‌نویسی Rust کدنویسی کرده است.

بیش از یک دهه از عمر Rust می گذرد؛ در سال 2021، برای ششمین سال پیاپی، Rust به‌عنوان «دوست‌داشتنی‌ترین زبان برنامه‌نویسی» جهان انتخاب شد. هر چند، بر اساس یک نظرسنجی، 7 درصد از برنامه‌نویسان از Rust استفاده می‌کنند اما بکارگیری آن توسط نویسندگان باج‌افزار هیچ‌گاه متداول نبوده است. از مزایای Rust سادگی کامپایل کد برای هر دو سیستم عامل Windows و Linux است و احتمالا همین مزیت Rust برنامه‌نویسان ALPHV را به استفاده از آن متمایل کرده است.

کلام پایانی

ظهور ALPHV یادآور این حقیقت تلخ است که فروپاشی زیرساخت یک باج‌افزار و حتی دستگیری برخی گردانندگان آن به معنای توقف همیشگی فعالیت مخرب افراد پشت‌پرده آن نیست.

به یاد داشته باشیم که مؤثرترین راهکار در مقابله با باج‌افزارها، پیشگیری است.

نشانه آلودگی

هش SHA-1 فایل اصلی باج‌افزار BlackCat که در این مطلب به آن پرداخته شد به شرح زیر است:

38fa2979382615bbee32d1f58295447c33ca4316