Государственный университет Северной Каролины A&T, крупнейший исторически черный колледж в США, недавно подвергся нападению группы программ-вымогателей под названием ALPHV, в результате чего в прошлом месяце сотрудники университета были вынуждены восстановить услуги.
«Это влияет на многие мои занятия, особенно с учетом того, что я посещаю пару занятий по программированию, мои занятия были отменены», — Мелани Маклеллан, студентка, изучающая промышленные системы, сказал школьная газета The A&T Register. «Они были удаленными, я все еще не мог выполнять свои задания».
Газета сообщила, что нарушение произошло 7 марта, когда студенты и преподаватели были на весенних каникулах. Системы, отключенные в результате вторжения, включали беспроводные соединения, инструкции Blackboard, веб-сайты единого входа, VPN, Jabber, Qualtrics, Banner Doc Administration и Chrome River, многие из которых оставались недоступными, когда студенческая газета опубликовала свою статью две недели назад.
Отчет появился на следующий день после того, как A&T Северной Каролины появился на сайте даркнета, который ALPHV использует, чтобы назвать и пристыдить жертв, пытаясь убедить их заплатить огромный выкуп.
ALPHV, который также известен под названием Black Cat, является относительным новичком на рынке программ-вымогателей как услуги, в котором основная группа разработчиков работает с аффилированными лицами, чтобы заразить жертв, а затем разделить полученные доходы. Некоторые из его участников изображали ALPHV как преемника групп вымогателей BlackMatter и REvil, и в четверг исследователи из охранной фирмы Kaspersky представили доказательства, подтверждающие это утверждение.
Наглое повторное использование кода
Инструмент эксфильтрации, ранее использовавшийся исключительно BlackMatter, Касперский сказал, используется ALPHV/Black Cat и «представляет новую точку данных, связывающую BlackCat с прошлой деятельностью BlackMatter». Ранее BlackMatter использовал так называемый инструмент Fendr для сбора данных перед их шифрованием на сервере жертвы. Эксфильтрация поддерживает модель двойного вымогательства, которая требует оплаты не только за ключ дешифрования, но и за клятву мизинца, что преступники не будут обнародовать данные.
«В прошлом BlackMatter уделяла первоочередное внимание сбору конфиденциальной информации с Fendr для успешной поддержки своей схемы двойного принуждения, как это делает сейчас BlackCat, и это демонстрирует практичный, но наглый пример повторного использования вредоносного ПО для выполнения их многоуровневого шантажа». Об этом пишут исследователи Касперского. «Модификация этого повторно используемого инструмента демонстрирует более сложный режим планирования и разработки для адаптации требований к целевой среде, характерный для более эффективной и опытной преступной программы».
Касперский сказал, что программа-вымогатель ALPHV необычна, потому что она написана на языке программирования Rust. Еще одна странность: отдельный исполняемый файл программы-вымогателя компилируется специально для целевой организации, часто всего за несколько часов до вторжения, поэтому ранее собранные учетные данные для входа в систему жестко закодированы в двоичном коде.
В сообщении, опубликованном в четверг, говорится, что исследователи «Лаборатории Касперского» наблюдали два нарушения AlPHV: одно — у провайдера облачного хостинга на Ближнем Востоке, а другое — у нефтегазовой, горнодобывающей и строительной компании в Южной Америке. Во время второго инцидента «Лаборатория Касперского» обнаружила использование Fendr. Другие нарушения, приписываемые ALPHV, включают два немецких поставщика нефти и роскошный модный бренд Moncler.
A&T стал седьмым американским университетом или колледжем, пострадавшим от программ-вымогателей в этом году. по словам Бретта Кэллоу, аналитик по безопасности в охранной фирме Emsisoft. Кэллоу также сказал, что пострадали как минимум восемь школьных округов, что привело к нарушению работы 214 школ.