Peneliti Kaspersky mengungkapkan dua serangan cyber yang dilakukan oleh grup ransomware BlackCat. Satu menunjukkan risiko yang ditimbulkan oleh sumber daya hosting cloud bersama dan yang lainnya menunjukkan pendekatan gesit terhadap malware khusus yang digunakan kembali di seluruh aktivitas BlackMatter dan BlackCat.

Kompleksitas malware yang digunakan, dikombinasikan dengan pengalaman luas para aktor di baliknya, menjadikan grup ransomware BlackCat salah satu pemain utama di pasar ransomware saat ini. Alat dan teknik yang digunakan saat melakukan upaya serangan mengonfirmasi hubungan antara BlackCat dan grup ransomware terkenal lainnya, seperti BlackMatter dan REvil.

Grup ransomware BlackCat beraksi sejak Desember 2021. Tidak seperti banyak aktor ransomware lainnya, malware BlackCat ditulis dalam bahasa pemrograman Rust. Berkat kemampuan kompilasi silang canggih Rust, BlackCat dapat menargetkan sistem Windows dan Linux.

Dengan kata lain, BlackCat telah memperkenalkan kemajuan inkremental dan pergeseran teknologi yang digunakan untuk mengatasi tantangan pengembangan ransomware. Aktor tersebut mengklaim sebagai penerus kelompok ransomware terkenal seperti BlackMatter dan REvil.

Telemetri tim Kaspersky menunjukkan bahwa setidaknya beberapa anggota grup BlackCat baru memiliki tautan langsung ke BlackMatter, karena mereka menggunakan alat dan teknik yang sebelumnya telah digunakan secara luas oleh BlackMatter.

Dalam laporan baru bertajuk A Bad Luck BlackCat, peneliti Kaspersky menjelaskan dalam kasus pertama terlihat serangan terhadap penyedia ERP (enterprise resource planning) atau perencanaan sumber daya perusahaan, yang rentan di Kawasan Timur Tengah yang menampung
banyak situs. Penyerang secara bersamaan mengirimkan dua executable berbeda ke server fisik yang sama, menargetkan dua organisasi berbeda yang dihosting secara virtual di sana.

Meskipun grup tersebut salah dalam memahami server yang terinfeksi sebagai dua sistem fisik yang berbeda, penyerang meninggalkan jejak yang penting untuk menentukan gaya operasi BlackCat. Peneliti Kaspersky menyimpulkan bahwa aktor tersebut mengeksploitasi risiko aset bersama di seluruh sumber daya cloud.

Selain itu, dalam hal ini, grup juga mengirimkan file batch Mimikatz bersama dengan executable dan utilitas pemulihan kata sandi jaringan Nirsoft. Insiden serupa terjadi pada tahun 2019 ketika REvil, pendahulu aktivitas BlackMatter, muncul untuk menembus layanan cloud yang mendukung sejumlah besar kantor dokter gigi di Amerika Serikat. Kemungkinan besar BlackCat juga telah mengadopsi beberapa taktik lama ini.

Kasus kedua melibatkan perusahaan minyak, gas, pertambangan dan konstruksi di Amerika Selatan dan mengungkapkan hubungan antara aktivitas ransomware BlackCat dan BlackMatter. Afiliasi di balik serangan ransomware ini tidak hanya berupaya mengirimkan ransomware BlackCat dalam jaringan yang ditargetkan, tetapi juga mendahului pengiriman ransomware dengan instalasi yang dimodifikasi utilitas exfiltrasi kustom, yang disebut Fendr. Utilitas ini juga dikenal sebagai ExMatter, sebelumnya telah digunakan secara eksklusif sebagai bagian dari aktivitas ransomware BlackMatter.

"Setelah grup REvil dan BlackMatter menutup operasi, tidak perlu menunggu lama hingga grup ransomware lain mengambil alih ceruk pasar mereka. Pengetahuan tentang pengembangan malware, contoh baru yang ditulis dari awal dalam bahasa pemrograman," kata Dmitry Galov, peneliti keamanan di Tim Riset dan
Analisis Global (GReAT) Kaspersky.

"Dengan menganalisis insiden besar ini, kami menyoroti fitur, alat, dan teknik utama yang digunakan oleh BlackCat saat menembus jaringan targetnya. Pengetahuan ini membantu kami menjaga keamanan dan perlindungan pengguna baik dari ancaman yang dikenal maupun tidak dikenal. Kami mendesak komunitas keamanan siber untuk bergabung dan bekerja sama melawan kelompok penjahat siber baru untuk masa depan yang lebih aman," sambungnya.

Untuk membantu bisnis tetap terlindungi dari ransomware, para peneliti keamanan Kaspersky menyarankan perusahaan mengambil tindakan anti-ransomware berikut sesegera mungkin:

• Tetap perbarui seluruh perangkat lunak yang digunakan oleh organisasi Anda untuk mencegah
  ransomware mengeksploitasi kerentanan.
• Mengedukasi karyawan tentang cara melindungi lingkungan perusahaan dengan memanfaatkan pelatihan khusus, seperti yang disediakan Kaspersky Automated Security Awareness Platform. Pembelajaran gratis tentang cara melindungi dari serangan ransomware
  tersedia di sini.
• Fokuskan strategi pertahanan perusahaan untuk mendeteksi gerakan lateral dan eksfiltrasi data ke Internet. Berikan perhatian khusus pada lalu lintas keluar untuk mendeteksi koneksi penjahat
  dunia maya.
• Cadangkan data secara berkala dan pastikan Anda dapat mengaksesnya dengan cepat dalam keadaan darurat.
• Menggunakan intelijen ancaman terbaru untuk tetap waspada terhadap TTP saat ini yang digunakan oleh pelaku ancaman.
• Gunakan solusi seperti Kaspersky Endpoint Detection and Response dan Kaspersky Managed Detection and Response, yang membantu mengidentifikasi dan menghentikan serangan pada tahap awal - sebelum penyerang dapat mencapai tujuan akhir mereka.