BlackCat / ALPHV
Что такое BlackCat / ALPHV?
BlackCat / ALPHVRansomware-as-a-service группа на Rust, активная с конца 2021 до 2024 года, известная кроссплатформенными шифровальщиками и агрессивным многоступенчатым вымогательством.
BlackCat (также ALPHV или Noberus) появился в ноябре 2021 года и широко оценивается как ребрендинг BlackMatter / DarkSide. Это одно из первых крупных семейств ransomware, написанных на Rust, с пейлоадами для Windows, Linux и ESXi. Партнёры удерживали 80—90% выкупа и применяли тройное вымогательство: утечки данных, портал для жертв и DDoS. Значимые инциденты: вторжения в MGM Resorts и Caesars Entertainment в сентябре 2023 года и атака на Change Healthcare в феврале 2024 года, парализовавшая обработку аптечных требований в США на несколько недель. В декабре 2023 года ФБР объявило об изъятии инфраструктуры и публикации декриптора; BlackCat ненадолго возобновлял работу, а в марте 2024 года провёл публичный exit-scam, отказавшись выплачивать долю партнёру, атаковавшему Change Healthcare. Считается, что участники мигрировали в RansomHub и другие RaaS.
● Примеры
- 01
Атака BlackCat / Scattered Spider на MGM Resorts в сентябре 2023 года нарушила работу отелей, азартных игр и цифровых сервисов в ряде казино.
- 02
Инцидент с Change Healthcare в феврале 2024 года, приписываемый BlackCat, парализовал на национальном уровне обработку медицинских требований и работу аптек в США.
● Частые вопросы
Что такое BlackCat / ALPHV?
Ransomware-as-a-service группа на Rust, активная с конца 2021 до 2024 года, известная кроссплатформенными шифровальщиками и агрессивным многоступенчатым вымогательством. Относится к категории Защита и операции в кибербезопасности.
Что означает BlackCat / ALPHV?
Ransomware-as-a-service группа на Rust, активная с конца 2021 до 2024 года, известная кроссплатформенными шифровальщиками и агрессивным многоступенчатым вымогательством.
Как работает BlackCat / ALPHV?
BlackCat (также ALPHV или Noberus) появился в ноябре 2021 года и широко оценивается как ребрендинг BlackMatter / DarkSide. Это одно из первых крупных семейств ransomware, написанных на Rust, с пейлоадами для Windows, Linux и ESXi. Партнёры удерживали 80—90% выкупа и применяли тройное вымогательство: утечки данных, портал для жертв и DDoS. Значимые инциденты: вторжения в MGM Resorts и Caesars Entertainment в сентябре 2023 года и атака на Change Healthcare в феврале 2024 года, парализовавшая обработку аптечных требований в США на несколько недель. В декабре 2023 года ФБР объявило об изъятии инфраструктуры и публикации декриптора; BlackCat ненадолго возобновлял работу, а в марте 2024 года провёл публичный exit-scam, отказавшись выплачивать долю партнёру, атаковавшему Change Healthcare. Считается, что участники мигрировали в RansomHub и другие RaaS.
Как защититься от BlackCat / ALPHV?
Защита от BlackCat / ALPHV обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия BlackCat / ALPHV?
Распространённые альтернативные названия: ALPHV, Noberus, BlackCat RaaS.
● Связанные термины
- defense-ops№ 901
Ransomware-группировка
Финансово мотивированная киберпреступная группа, разрабатывающая, эксплуатирующая или распространяющая шифровальщик ради вымогательства у организаций.
- malware№ 902
Ransomware-as-a-Service (RaaS)
Криминальная бизнес-модель, в которой операторы шифровальщика сдают своё ВПО и инфраструктуру в аренду партнёрам, выполняющим атаки и делящимся прибылью.
- defense-ops№ 624
LockBit
Русскоязычная ransomware-as-a-service группа, ставшая в 2022—2024 годах самой плодовитой по числу жертв и серьёзно подорванная операцией Cronos.
- defense-ops№ 215
Ransomware Conti
Русскоязычная ransomware-операция 2020—2022 годов, проводившая одну из самых массовых программ двойного вымогательства и распавшаяся после крупных внутренних утечек.
- defense-ops№ 928
REvil / Sodinokibi
Русскоязычная ransomware-as-a-service группа 2019—2021 годов, известная двойным вымогательством и атакой на цепочку поставок Kaseya VSA.
- defense-ops№ 536
Initial Access Broker (IAB)
Киберпреступный специалист, который добывает несанкционированный доступ к корпоративным сетям и продаёт его другим преступникам, особенно партнёрам ransomware-группировок.