Eine Analyse von zwei Ransomware-Angriffen hat Überschneidungen in den Taktiken, Techniken und Verfahren (TTPs) von BlackCat und BlackMatter festgestellt, was auf eine starke Verbindung zwischen den beiden Gruppen hindeutet.
Es ist zwar typisch für Ransomware-Gruppen, dass sie ihren Namen ändern, wenn ihre Angriffe besser sichtbar werden, aber BlackCat (auch bekannt als Alphv) markiert insofern eine neue Grenze, als das Cyber-Kartell aus Mitgliedern anderer Ransomware-as-a-Service (RaaS)-Gruppen besteht.
BlackCat tauchte erstmals im November 2021 auf und hat seither in den letzten Monaten mehrere Organisationen weltweit angegriffen. Sie wurde als ähnlich wie BlackMatter bezeichnet, eine kurzlebige Ransomware-Familie, die von DarkSide stammt, das wiederum durch seinen viel beachteten Angriff auf Colonial Pipeline im Mai 2021 bekannt wurde.
In einem Interview mit The Record von Recorded Future im letzten Monat wies ein Vertreter von BlackCat Spekulationen zurück, dass es sich um ein Rebranding von BlackMatter handelt, und wies darauf hin, dass die Gruppe aus Mitgliedern anderer RaaS-Gruppen besteht.
„Zum Teil sind wir alle mit Gandrevil [GandCrab / REvil], Blackside [BlackMatter / DarkSide], Mazegreggor [Maze / Egregor], Lockbit usw. verbunden, denn wir sind Werber (aka Affiliates)“, wurde der ungenannte Vertreter zitiert. „Wir haben ihre Vorteile übernommen und ihre Nachteile eliminiert.“
„BlackCat scheint ein Fall von vertikaler Geschäftsausweitung zu sein“, so die Cisco Talos Forscher Tiago Pereira und Caitlin Huey. „Im Wesentlichen geht es darum, die vorgelagerte Lieferkette zu kontrollieren, indem ein für ihr Geschäft wichtiger Dienst (der RaaS-Betreiber) besser an ihre Bedürfnisse angepasst und eine weitere Einnahmequelle hinzugefügt wird.“
Darüber hinaus stellte das Cybersecurity-Unternehmen eine Reihe von Gemeinsamkeiten zwischen einem BlackMatter-Angriff im September 2021 und einem BlackCat-Angriff im Dezember 2021 fest, darunter die verwendeten Tools und Dateinamen sowie eine Domain, die verwendet wird, um dauerhaften Zugang zum Zielnetzwerk zu erhalten.
Diese Überschneidungen bei der Verwendung der gleichen Befehls- und Kontrolladresse haben die Möglichkeit aufgeworfen, dass die Partnerorganisation, die BlackMatter verwendete, wahrscheinlich zu den frühen Anwendern von BlackCat gehörte, da beide Angriffe mehr als 15 Tage brauchten, um die Verschlüsselungsphase zu erreichen.
„Wie wir bereits mehrfach gesehen haben, kommen und gehen RaaS-Dienste. Ihre Partner werden aber wahrscheinlich einfach zu einem neuen Dienst wechseln. Und mit ihnen werden viele der TTPs wahrscheinlich weiterbestehen“, so die Forscher.
Die Ergebnisse kommen zu einem Zeitpunkt, an dem BlackBerry eine neue .NET-basierte Ransomware-Familie namens LokiLocker vorstellt, die nicht nur die Dateien verschlüsselt, sondern auch eine optionale Wiper-Funktion enthält, die alle systemfremden Dateien löscht und den Master Boot Record (MBR) überschreibt, wenn das Opfer sich weigert, innerhalb eines bestimmten Zeitraums zu zahlen.
„LokiLocker funktioniert als Ransomware-as-a-Service mit begrenztem Zugang, die anscheinend an eine relativ kleine Anzahl sorgfältig überprüfter Partner hinter verschlossenen Türen verkauft wird“, so die Forscher. Die meisten der bisher entdeckten Opfer befinden sich in Osteuropa und Asien und sind mindestens seit August 2021 aktiv.