BlackCat: cos'è e come funziona il ransomware che ha attaccato anche il GSE

In questi giorni è balzata agli “onori” delle cronache la notizia dell’attacco informatico subìto dal GSE (Gestore dei servizi energetici), partecipata dal Ministero dell’Economia e delle Finanze (MEF) alla quale è attribuito l’incarico di promozione e sviluppo delle fonti rinnovabili e dell’efficienza energetica.

La società ha comunicato che “un ransomware di nuovissima generazione” ha colpito “rete, client, infrastruttura degli applicativi, file server e sistemi di posta elettronica“.

Posto che, come abbiamo evidenziato nell’articolo citato in apertura, un attacco ransomware non nasce da sé ma è l”onta finale” che si subisce in seguito a qualche altro problema di sicurezza o a qualche errore commesso nella configurazione della rete e dei singoli sistemi (se non altro nella separazione degli account e nell’assegnazione dei privilegi…), la minaccia che ha costretto GSE a interrompere temporaneamente l’erogazione dei suoi servizi si chiama BlackCat.

Cos’è BlackCat e perché è pericoloso

Insieme con LockBit, BlackCat uno dei ransomware più pericolosi e tecnicamente meglio realizzati.

Come LockBit anche BlackCat (conosciuto, così come il gruppo che si occupa del suo continuo aggiornamento, anche come ALPHV o AlphaVM), è un RaaS (Ransomware-as-a-Service): gli sviluppatori mettono a disposizione la piattaforma che consente agli affiliati e a soggetti terzi di lanciare attacchi mirati, sottrarre dati personali e informazioni sensibili, chiedere un riscatto in denaro.
BlackBat viene utilizzato inoltre, come LockBit, per mettere in atto delle doppie estorsioni: il materiale crittografato sui sistemi delle vittime viene anche “esfiltrato”. Le aziende prese di mira vengono quindi minacciate sulla pubblicazione dei loro dati in caso di mancato pagamento del riscatto.

BlackCat è il primo ransomware in assoluto scritto nel linguaggio Rust a essere stato effettivamente usato per attacchi “nel mondo reale”.
Avvistato per la prima volta a novembre 2021, BlackCat usa un linguaggio come Rust per tendere di eludere il rilevamento, in particolare quelle esercitato dalle soluzioni di sicurezza convenzionali, e bersagliare più dispositivi e sistemi operativi. Microsoft, ad esempio, ha osservato attacchi riusciti contro dispositivi Windows, Linux e istanze VMWare.

Se il payload sviluppato in Rust è simile, come abbiamo accennato in precedenza, ogni affiliato a BlackCat-ALPHV può sfruttare un ampio ventaglio di possibili vettori di attacco, comprese le vulnerabilità nei software comunemente usati in ambito aziendale (citiamo Exchange Server, tra tutti).

BlackCat può bypassare UAC (User Account Control), il che significa che il payload viene comunque eseguito. Senza i privilegi amministrativi, BlackCat avvia un processo secondario con autorizzazioni sufficienti per crittografare il numero massimo di file sul sistema.

Nel caso di Windows il ransomware può determinare il nome del computer, le unità locali in uso, se il sistema è collegato con un dominio Active Directory e molto altro ancora: in questo modo può diffondersi rapidamente nella rete locale, infettare più sistemi e massimizzare il danno causato.
BlackCat rileva tutti i server collegati alla rete: trasmette innanzitutto messaggi NetBIOS Name Service (NBNC) per verificare la presenza di questi sistemi e prova quindi a replicarsi tramite PsExec, di per sé software assolutamente legittimo e utilizzato da tanti amministratori.

Per rendere più difficile il ripristino del sistema infettato e il recupero dei dati, BlackCat modifica il bootloader, elimina le copie shadow del volume e pulisce il contenuto del registro degli eventi.

Una volta crittografati i dati e trasmessi agli autori dell’attacco, l’organizzazione che tiene i fili di BlackCat gestisce alcuni indirizzi Onion, accessibili da rete Tor, attraverso i quali vengono resi di pubblico dominio i dati delle aziende che hanno subìto un data leak.
Nel caso del GSE, ad esempio, i criminali informatici affermano di essere in possesso di 700 GB di dati che verranno pubblicati nel corso dei prossimi giorni in caso di mancato pagamento della somma richiesta.