Партнеры BlackMatter и REvil собрали группу BlackCat, чтобы продолжать RaaS-бизнес

В ходе анализа атак кибервымогательских группировок BlackCat и BlackMatter специалисты выявили много общего в их тактиках, техниках и процедурах (TTP), что может свидетельствовать о тесной связи между ними.

Хотя кибервымогатели часто проводят ребрендинг своих операций, когда внимание к ним со стороны правоохранительных органов усиливается, BlackCat (она же Alphv) – это своего рода «супергруппа», состоящая из партнеров разных кибервымогательских группировок.

BlackCat впервые появилась в ноябре 2021 года и с тех пор атаковала несколько организаций по всему миру. Многие эксперты видели в ней сходство с BlackMatter – кибервымогательской группировкой, возникшей на «останках» печально известной DarkSide, атаковавшей Colonial Pipeline в мае 2021 года.

В интервью изданию The Record в прошлом месяце представитель BlackCat заявил, что слухи, будто группировка является новым названием BlackMatter, не соответствуют действительности. Однако он отметил, что BlackCat состоит из партнеров разных RaaS.

«Частично мы связаны с gandrevil [GandCrab/REvil], blackside [BlackMatter/DarkSide], mazegreggor [Maze/Egregor], lockbit, и пр., поскольку являлись их партнерами. Мы позаимствовали их плюсы и устранили минусы», – сообщил представитель группировки.

По словам специалистов Cisco Talos, похоже, BlackCat – пример вертикального расширения бизнеса.

«По сути, это способ контролировать восходящую цепочку поставок, делая сервис, являющийся ключевым для их бизнеса (оператора RaaS), более подходящим для их нужд и добавляя еще один источник дохода», – пояснили исследователи.

Более того, эксперты обнаружили целый ряд общих черт между атакой BlackMatter в сентябре 2021 года и атакой BlackCat в декабре 2021 года, включая используемые инструменты и имена файлов, а также домен для поддержания постоянного доступа ко взломанным сетям.

Использование одного и того же C&C-адреса может свидетельствовать о том, что партнер BlackMatter, вероятно, был одним из первых, кто внедрил BlackCat, поскольку для достижения стадии шифрования обеим атакам потребовалось более 15 дней.

«Как мы уже неоднократно видели, RaaS-сервисы приходят и уходят. Однако их партнеры, скорее всего, просто переходят на новый сервис. А с ними сохраняются и многие TTP», – пояснили исследователи.