ALPHV Blackcat
BlackCat veya Noberus adıyla da bilinen ALPHV, Hizmet Olarak Fidye Yazılımı (RaaS) operasyonlarında kullanılan bir fidye yazılımı türüdür.
ALPHV BlackCat'in Kökeni
Rust programlama dili kullanılarak geliştirilen ALPHV, Windows, Linux (Debian, Ubuntu, ReadyNAS, Synology) ve VMWare ESXi dahil olmak üzere çeşitli işletim sistemlerinde çalışabilir.
Siber suç forumlarında ALPHV adı altında pazarlanmaktadır, ancak güvenlik araştırmacıları genellikle sızıntı sitesinde görüntülenen siyah kedi simgesine bir selam olarak BlackCat olarak adlandırmaktadır.
ALPHV, 18 Kasım 2021'de fidye yazılımı saldırılarında gözlemlenen ilk dağıtımından bu yana, hem AES hem de ChaCha20 algoritmalarını destekleyerek şifreleme yeteneklerinde çok yönlülük göstermiştir.
Maksimum kesinti sağlamak için ALPHV, birim gölge kopyalarını ortadan kaldırabilir, işlemleri ve hizmetleri sonlandırabilir ve ESXi sunucularındaki sanal makineleri kapatabilir.
Ayrıca, diğer ana bilgisayarlarda uzaktan çalıştırmak için PsExec'i kullanarak yerel ağlar arasında kendi kendine yayılma özelliğine sahiptir.
ALPHV Blackcat Aralık 2023'te FBI tarafından çökertilmiştir.
ALPHV tarafından hedeflenen ülkeler
ALPHV Blackcat en çok ABD'yi, ardından Almanya'yı ve Fransa, İspanya ve Hollanda gibi diğer Avrupa ülkelerini hedeflemiştir.
ALPHV tarafından hedeflenen sektörler
BlackCat fidye yazılımıyla ilgili 210'dan fazla duyuruyu inceleyen araştırmacılar, "Profesyonel, Bilimsel ve Teknik Hizmetler" ve "Üretim" sektörlerinin ana hedefleri olduğunu ve profesyonel hizmetler sektöründe en çok etkilenenlerin hukuk firmaları ve hukuk hizmetleri olduğunu tespit etti.
Kaynak SOCradar
ALPHV Blackcat'nin Mağdurları
ALPHV Blackcat'nin Saldırı Yöntemi
ALPHV öncelikle halka açık uygulamalardaki güvenlik açıklarını hedef alır ve muhtemelen ağ sistemlerine sızmak için bu kusurlardan yararlanır. Bazı durumlarda, ağda bir yer edinmek için önceki ihlaller veya kimlik bilgisi hırsızlığı yoluyla elde edilmiş olabilecek meşru etki alanı hesaplarını da kullanır.
Ağa girdikten sonra ALPHV, aynı geçerli etki alanı hesaplarından yararlanarak ayrıcalıklarını artırır ve kendisine genellikle yöneticiler için ayrılmış olan daha yüksek erişim düzeyleri verir. Bu yükselme, sistem üzerindeki kontrolünü derinleştirmek için kritik önem taşır. Yürütme açısından ALPHV, fidye yazılımının konuşlandırılmasını ve yayılmasını kolaylaştıran kötü amaçlı komutları ve komut dosyalarını çalıştırmak için Windows Komut Kabuğunu kullanır.
Tespit edilmekten kaçınmak ve savunma yanıtlarını engellemek için ALPHV, faaliyetlerini tespit edebilecek veya engelleyebilecek güvenlik araçlarını aktif olarak devre dışı bırakır veya değiştirir. Bu, antivirüs programlarını sonlandırmayı ve güvenlik hizmetlerini devre dışı bırakmayı içerir ve faaliyetleri için daha izin verici bir ortam yaratır.
ALPHV'nin ele geçirilen sistemler üzerindeki etkisi ağırdır; güçlü şifreleme algoritmaları kullanarak kritik verileri şifreler ve dosyaları kullanıcılar için erişilemez hale getirir. Ayrıca, gölge kopyaları silerek ve kurtarma araçlarını devre dışı bırakarak sistem kurtarma çabalarını zayıflatır, bu da neden olduğu kesintiyi daha da kötüleştirir ve kurbanları verilerine erişimi geri yüklemek için fidye taleplerini karşılamaya zorlar.
ALPHV öncelikle halka açık uygulamalardaki güvenlik açıklarını hedef alır ve muhtemelen ağ sistemlerine sızmak için bu kusurlardan yararlanır. Bazı durumlarda, ağda bir yer edinmek için önceki ihlaller veya kimlik bilgisi hırsızlığı yoluyla elde edilmiş olabilecek meşru etki alanı hesaplarını da kullanır.
Ağa girdikten sonra ALPHV, aynı geçerli etki alanı hesaplarından yararlanarak ayrıcalıklarını artırır ve kendisine genellikle yöneticiler için ayrılmış olan daha yüksek erişim düzeyleri verir. Bu yükselme, sistem üzerindeki kontrolünü derinleştirmek için kritik önem taşır. Yürütme açısından ALPHV, fidye yazılımının konuşlandırılmasını ve yayılmasını kolaylaştıran kötü amaçlı komutları ve komut dosyalarını çalıştırmak için Windows Komut Kabuğunu kullanır.
Tespit edilmekten kaçınmak ve savunma yanıtlarını engellemek için ALPHV, faaliyetlerini tespit edebilecek veya engelleyebilecek güvenlik araçlarını aktif olarak devre dışı bırakır veya değiştirir. Bu, antivirüs programlarını sonlandırmayı ve güvenlik hizmetlerini devre dışı bırakmayı içerir ve faaliyetleri için daha izin verici bir ortam yaratır.
ALPHV'nin ele geçirilen sistemler üzerindeki etkisi ağırdır; güçlü şifreleme algoritmaları kullanarak kritik verileri şifreler ve dosyaları kullanıcılar için erişilemez hale getirir. Ayrıca, gölge kopyaları silerek ve kurtarma araçlarını devre dışı bırakarak sistem kurtarma çabalarını zayıflatır, bu da neden olduğu kesintiyi daha da kötüleştirir ve kurbanları verilerine erişimi geri yüklemek için fidye taleplerini karşılamaya zorlar.
ALPHV tarafından kullanılan TTP'ler
ALPHV ile Nasıl Tespit Edilir Vectra AI
Sıkça Sorulan Sorular
ALPHV BlackCat nedir?
Noberus olarak da bilinen ALPHV BlackCat, Rust dilinde yazılmış ve Hizmet Olarak Fidye Yazılımı (RaaS) işlemlerinde kullanılan gelişmiş bir fidye yazılımı çeşididir. Windows, Linux ve VMWare ESXi dahil olmak üzere birden fazla işletim sistemini hedef alabilmektedir.
ALPHV BlackCat bir ağa ilk erişimi nasıl elde eder?
ALPHV BlackCat genellikle halka açık uygulamalardaki açıklardan yararlanarak veya ele geçirilmiş olabilecek geçerli etki alanı hesaplarını kullanarak ilk erişimi elde eder.
ALPHV BlackCat'in birincil hedefleri nelerdir?
ALPHV BlackCat, özellikle profesyonel sektördeki hukuk firmaları ve yasal hizmetlere odaklanarak Profesyonel, Bilimsel ve Teknik Hizmetler ve İmalat gibi sektörleri hedeflemektedir.
ALPHV BlackCat hangi şifreleme algoritmalarını kullanır?
ALPHV BlackCat, kurban verilerini kilitlemek için AES veya ChaCha20 şifreleme algoritmalarını kullanacak şekilde yapılandırılabilir.
ALPHV BlackCat tespit edilmekten nasıl kaçıyor?
Fidye yazılımı, tespit edilmekten kaçınmak için güvenlik araçlarını devre dışı bırakmak ve savunma önlemlerini engellemek için sistem süreçlerini değiştirmek de dahil olmak üzere çeşitli teknikler kullanır.
Kuruluşlar ALPHV BlackCat saldırılarına karşı korunmak için ne yapabilir?
Kuruluşlar, tehditleri daha etkili bir şekilde tespit etmek ve bunlara yanıt vermek için düzenli yama uygulama, gelişmiş uç nokta koruması kullanma, çalışanlara güvenlik farkındalığı eğitimi verme ve Vectra AI gibi yapay zeka odaklı bir tehdit tespit platformu kullanma gibi sağlam güvenlik önlemleri almalıdır.
ALPHV BlackCat etkilenen sistemleri nasıl etkiler?
ALPHV BlackCat'in etkisi, önemli dosyaları şifrelemeyi, birim gölge kopyalarını silmeyi ve kesintiyi en üst düzeye çıkarmak ve kurbanları fidye ödemeye zorlamak için kritik hizmetleri ve sanal makineleri durdurmayı içerir.
ALPHV BlackCat'in kendi kendine yayılma özelliği var mı?
Evet, ALPHV BlackCat PsExec gibi araçları kullanarak bir ağ içinde kendi kendine yayılabilir ve yerel ağdaki diğer ana bilgisayarlarda uzaktan çalıştırılabilir.
BT ekipleri bir ALPHV BlackCat enfeksiyonuna nasıl yanıt vermelidir?
Etkilenen sistemlerin derhal izole edilmesi, tehlikeye atılan kimlik bilgilerinin belirlenmesi ve iptali, fidye yazılımının varlığının ortadan kaldırılması ve yedeklerden geri yükleme, gelecekteki ihlalleri önlemek için kapsamlı bir araştırmanın yanı sıra kritik adımlardır.
Yapay zeka odaklı tehdit tespiti ALPHV BlackCat ile mücadelede nasıl bir rol oynuyor?
Vectra AI gibi yapay zeka odaklı tehdit algılama platformları, kötü niyetli davranışları gösteren kalıpları ve anormallikleri analiz ederek ALPHV BlackCat faaliyetlerinin ve diğer karmaşık tehditlerin ince işaretlerini belirlemede çok önemli bir rol oynar ve daha hızlı ve daha etkili yanıtlar sağlar.