BlackCat, juga dikenal sebagai ALPHV, adalah ransomware-as-a-service (RaaS) yang muncul pada akhir tahun 2021 dan dengan cepat menjadikan dirinya sebagai salah satu ancaman paling canggih dan berbahaya dalam lanskap serangan siber. Dikembangkan di Rust, yang relatif jarang digunakan untuk malware, BlackCat memperkenalkan beberapa inovasi teknis yang menjadikannya musuh tangguh bagi organisasi di seluruh dunia.
Karakteristik teknis utama dari ransomware BlackCat
Hal pertama yang perlu diketahui adalah bahwa ini adalah bahasa pemrograman yang dikembangkan di Rust, bahasa berkinerja tinggi dan aman yang menawarkan portabilitas lebih baik antara sistem operasi yang berbeda. Hal ini membuat para peneliti keamanan lebih sulit menganalisisnya dibandingkan bahasa tradisional, sehingga menyebabkan kerusakan yang besar.
Metode infeksi
Metode pertama adalah eksploitasi kerentanan di server yang terekspos, yang merupakan metode paling umum seperti yang dinyatakan oleh sumber Perancis ini, namun itu bukan satu-satunya cara ransomware ini menggunakannya. Ada juga kompromi kredensial RDP (Remote Desktop Protocol), penggunaan malware awal sebagai titik masuk (Qakbot, IcedID), dan terakhir, serangan phishing yang ditargetkan terhadap karyawan dengan akses istimewa.
Teknik serangan tingkat lanjut
Skema pemerasan ganda melibatkan enkripsi data dan ancaman publikasi, sedangkan skema pemerasan rangkap tiga menambahkan serangan DDoS untuk semakin menekan korban.
Ia juga menggunakan teknik penghindaran yang canggih terhadap solusi antivirus dan penghapusan cadangan dan snapshot untuk mencegah pemulihan; semuanya diatur dengan sangat baik.
Organisasi dan model ekonominya
Pertama, struktur operasionalnya, yang beroperasi berdasarkan model RaaS (Ransomware-as-a-Service), cukup umum. Tim pusat mengembangkan dan memelihara malware tersebut.
Afiliasi menyebarkan ransomware dan berbagi keuntungan, dan pengembang menerima antara 20% dan 40% uang tebusan; di sini juga, keseluruhan sistem diatur dengan sangat baik untuk memaksimalkan keuntungan.
Afiliasi dan asal usul
BlackCat diduga memiliki hubungan dengan kelompok DarkSide dan BlackMatter, dan beberapa peneliti mencurigai adanya hubungan dengan aktor berbahasa Rusia, yang banyak terlibat dalam ancaman dunia maya. Menurut informasi kami, beberapa mantan anggota REvil telah bergabung dengan BlackCat.
Jumlah uang tebusan
Jika ransomware ini digunakan, jelas hal ini bertujuan untuk keuntungan finansial, dan memerlukan biaya yang besar, karena permintaan umumnya berkisar antara $400,000 hingga $3 juta, dengan jumlah yang disesuaikan dengan ukuran dan sektor korban.
Dan seperti biasa, pembayaran dilakukan secara eksklusif dalam mata uang kripto (Bitcoin, Monero), yang membuat penelusuran menjadi sangat rumit atau bahkan tidak mungkin, terutama untuk Monero.
Bagaimana kita bisa melindungi diri kita darinya?
Pertama, pencegahan adalah kuncinya, melalui pembaruan sistem dan aplikasi secara berkala, otentikasi multi-faktor (MFA) pada semua titik akses penting, pelatihan kesadaran karyawan mengenai risiko phishing, dan segmentasi jaringan untuk membatasi penyebaran lateral.
Mendeteksinya juga penting, dengan pemantauan jaringan aktif untuk mendeteksi perilaku abnormal dan sistem deteksi intrusi (IDS/IPS). Analisis perilaku untuk mengidentifikasi aktivitas mencurigakan, ditambah dengan pencatatan log terpusat dan pemantauan kejadian, juga sangat disarankan.
Yang terakhir, merespons insiden dengan baik juga penting, dimulai dengan rencana respons insiden yang diuji secara berkala, melakukan pencadangan offline dan tidak dapat diubah, menerapkan prosedur restorasi yang terdokumentasi dan teruji, serta menyiapkan komunikasi dengan pemangku kepentingan (pelanggan, pihak berwenang).