היזהרו מחתולים שחורים - קבוצת BlackCat הוסיפה את Brute Ratel לארסנל כלי התקיפה שלה
מאת:
מערכת Telecom News, 20.7.22, 14:11
שורת מתקפות, שאירעה לאחרונה, המחישה כיצד ממשיכה קב' BlackCat לנצל חולשות במוצרי חומת אש ושירותי VPN ישנים או לא מעודכנים כדי להוציא לפועל מתקפות כופר בעולם.
סופוס (
Sophos), חברת אבטחת מידע וסייבר, פרסמה מחקר תחת הכותרת
BlackCat Ransomware Attacks Not Merely a Byproduct of Bad Luck (מתקפות הכופרה של קבוצת
BlackCat הן לא עניין של מזל רע), שחושף, שקבוצת
BlackCat הוסיפה את
Brute Ratel, כלי לבדיקות חדירות (
Pentesting), לארסנל כלי התקיפה שלה.
המחקר בוחן שורה של מתקפות כופרה בעולם, שבהן ניצלה קבוצת
BlackCat חולשות במוצרי חומת אש ושירותי
VPN ישנים או לא מעודכנים כדי להשיג גישה לרשתות ולמערכות רגישות של ארגונים מכל ענפי המשק.
קבוצת
BlackCat עלתה לראשונה לכותרות בנובמבר 2021 כשהכריזה על עצמה כמובילה בשוק מתקפות כופרה כשירות (
RaaS), ותוך זמן קצר זכתה לעניין רב מצד מומחי האבטחה בשל השימוש יוצא הדופן שלה בשפת התכנות
Rust.
כבר בדצמבר 2021 זיהה צוות התגובה המהירה של החברה לפחות 5 מתקפות תוכנת כופר, שבהן הייתה מעורבת קבוצת
BlackCat. בא-4 מהן, ההדבקה הראשונית התבצעה תוך ניצול חולשות במוצרי חומת אש של ספקים שונים.
אחת מהחולשות, שניצלה הקבוצה, התגלתה כבר ב-2018 ואחרת התגלתה עוד בשנה שעברה. ברגע שחדרו לרשת הארגון, הצליחו התוקפים להשיג שמות משתמש וסיסמאות לשרתי
VPN, שאוחסנו במוצרי חומת האש שהותקפו והשתמשו בהם כדי לנוע רוחבית במערכות הארגון דרך פרוטוקול
RDP.
בדומה למתקפות קודמות של קבוצת
BlackCat, גם כאן השתמשו התוקפים בתמהיל של כלים מסחריים וכלי קוד פתוח, ובהם
TeamViewer,
nGrok,
Cobalt Strike ו-
Brute Ratel, ליצירת דלתות אחוריות ודרכים נוספות לעקיפת אמצעי ההגנה וגישה למערכות המותקפות מבלי להתגלות.
כריסטופר באד, (בתמונה משמאל), מנהל בכיר במחלקת חקר האיומים של סופוס: "שורת המתקפות האחרונות, ובכללן המתקפות של קבוצת
BlackCat, ממחישות עד כמה יעילים ותכליתיים הפכו התוקפים. הם משתמשים בשיטות תקיפה מוכחות, כמו ניצול חולשות ידועות במוצרי חומת אש ושירותי
VPN, מכיוון שהן קלות לביצוע ושיעור ההצלחה שלהן גבוה. בד בבד, הם מפגינים תחכום לא מבוטל בעקיפת אמצעי ההגנה כמו המעבר לשימוש בכלי
Brute Ratel כחלק משלב
C2 (התקנת דלתות אחוריות) שלאחר החדירה לרשת.
לסדרת המתקפות האחרונה אין מכנה משותף ברור. הן פגעו בארגונים בארה"ב, אירופה ואסיה מכל ענפי המשק. עם זאת, כל הארגונים שנפגעו היו חשופים לאותם סוגים של חולשות אבטחה, שהפכו את משימתם של התוקפים לקלה יותר: מערכות ישנות, שכבר לא נתמכות ולא מקבלות עדכוני אבטחה, העדר שימוש באימות רב־גורמי בחיבור ל-
VPN וטופולוגיית 'רשת שטוחה' (כלומר רשת הבנויה מרמה אחת בלבד, שבה כל התקן יכול לראות את כל יתר ההתקנים ברשת).
המשותף לכל המתקפות האלו הוא, שהן היו קלות לביצוע. באחת מהן, התוקפים מקבוצת
BlackCat התקינו תוכנות לכריית מטבעות קריפטוגרפיים ברשת הארגון כחודש לפני מתקפת הכופרה עצמה. המחקר ממחיש את החשיבות הרבה שיש לאימוץ שיטות ואמצעי אבטחת סייבר מוכחים מכיוון שהם עדיין יעילים מאוד במניעת מתקפות סייבר וסיכולן, כולל ריבוי מתקפות על רשת אחת".