שורת מתקפות שאירעה לאחרונה המחישה כיצד ממשיכה קבוצת BlackCat לנצל חולשות במוצרי חומת אש ושירותי VPN ישנים או לא מעודכנים כדי להוציא לפועל מתקפות כופר בכל רחבי העולם.
סופוס (Sophos),
חברת אבטחת המידע והסייבר המובילה, פרסמה מחקר תחת הכותרת 'BlackCat Ransomware Attacks Not Merely a Byproduct of Bad Luck (מתקפות הכופרה של קבוצת BlackCat הן לא עניין של מזל רע),' החושף כי קבוצת BlackCat הוסיפה את Brute Ratel, כלי לבדיקות חדירות (Pentesting), לארסנל כלי התקיפה שלה. המאמר בוחן שורה של מתקפות כופרה ברחבי העולם שבהן ניצלה קבוצת BlackCat חולשות במוצרי חומת אש ושירותי VPN ישנים או לא מעודכנים כדי להשיג גישה לרשתות ולמערכות רגישות של ארגונים מכל ענפי המשק.
קבוצת BlackCat עלתה לראשונה לכותרות בנובמבר 2021 כשהכריזה על עצמה כמובילה בשוק מתקפות כופרה כשירות (RaaS), ותוך זמן קצר זכתה לעניין רב מצד מומחי האבטחה בשל השימוש יוצא הדופן שלה בשפת התכנות Rust.
כבר בדצמבר 2021 זיהה צוות התגובה המהירה של סופוס לפחות חמש מתקפות תוכנת כופר שבהן הייתה מעורבת קבוצת BlackCat. בארבע מהן, ההדבקה הראשונית התבצעה תוך ניצול חולשות במוצרי חומת אש של ספקים שונים. אחת מהחולשות שניצלה הקבוצה התגלתה כבר ב־2018 ואחרת התגלתה עוד בשנה שעברה. ברגע שחדרו לרשת הארגון, הצליחו התוקפים להשיג שמות משתמש וסיסמאות לשרתי VPN שאוחסנו במוצרי חומת האש שהותקפו והשתמשו בהם כדי לנוע רוחבית במערכות הארגון דרך פרוטוקול RDP.
בדומה למתקפות קודמות של קבוצת BlackCat, גם כאן השתמשו התוקפים בתמהיל של כלים מסחריים וכלי קוד פתוח, ובהם TeamViewer, nGrok, Cobalt Strike ו־Brute Ratel, ליצירת דלתות אחוריות ודרכים נוספות לעקיפת אמצעי ההגנה וגישה למערכות המותקפות מבלי להתגלות.
"שורת המתקפות האחרונות, ובכללן המתקפות של קבוצת BlackCat, ממחישות עד כמה יעילים ותכליתיים הפכו התוקפים. הם משתמשים בשיטות תקיפה מוכחות, כמו ניצול חולשות ידועות במוצרי חומת אש ושירותי VPN, מכיוון שהן קלות לביצוע ושיעור ההצלחה שלהן גבוה. בד בבד, הם מפגינים תחכום לא מבוטל בעקיפת אמצעי ההגנה כמו המעבר לשימוש בכלי Brute Ratel כחלק משלב C2 (התקנת דלתות אחוריות) שלאחר החדירה לרשת," מסביר כריסטופר באד, מנהל בכיר במחלקת חקר האיומים של סופוס.
לסדרת המתקפות האחרונה אין מכנה משותף ברור. הן פגעו בארגונים בארה"ב, אירופה ואסיה מכל ענפי המשק. עם זאת, כל הארגונים שנפגעו היו חשופים לאותם סוגים של חולשות אבטחה שהפכו את משימתם של התוקפים לקלה יותר: מערכות ישנות שכבר לא נתמכות ולא מקבלות עדכוני אבטחה, העדר שימוש באימות רב־גורמי בחיבור ל־VPN וטופולוגיית 'רשת שטוחה' (כלומר רשת הבנויה מרמה אחת בלבד שבה כל התקן יכול לראות את כל יתר ההתקנים ברשת).
"המשותף לכל המתקפות האלו הוא שהן היו קלות לביצוע. באחת מהן, התוקפים מקבוצת BlackCat התקינו תוכנות לכריית מטבעות קריפטוגרפיים ברשת הארגון כחודש לפני מתקפת הכופרה עצמה. המחקר האחרון ממחיש את החשיבות הרבה שיש לאימוץ שיטות ואמצעי אבטחת סייבר מוכחים מכיוון שהם עדיין יעילים מאוד במניעת מתקפות סייבר וסיכולן, כולל ריבוי מתקפות על רשת אחת."
מידע נוסף על המתקפות של קבוצת BlackCat אפשר למצוא במאמר 'BlackCat Ransomware Attacks Not Merely a Byproduct of Bad Luck' באתר Sophos.com.