А списки-то вот они
ИТ-корпорация NJVC, являющаяся подрядчиком Министерства обороны США, пала жертвой шифровальщика ALPHV/BlackCat. По крайней мере, так утверждают сами операторы шифровальщика. Но у атаки были странные последствия.
NJVC является поставщиком решений для разведывательных, оборонных и геопространственных организаций. Штат компании насчитывает более 1200 работников по всему миру, объем контрактов с правительством США оценивается примерно в $290 млн.
Операторы BlackCat добавили NJVC в список жертв, размещенный на их сайте утечек в сети Tor. 28 сентября 2022 г. злоумышленники порекомендовали представителям компании связаться с ними как можно скорее, чтобы «обсудить ситуацию», угрожая в противном случае начать публиковать значительные объемы конфиденциальных данных, якобы находящихся в распоряжении BlackCat, каждые 12 часов. «Материала много, - написали операторы шифровальщика. - Ожидаем вашего ответа, это целиком в ваших интересах».
Козыри на стол
Позднее, однако, начались странности: во-первых, доступ к сайту утечек BlackCat стал крайне нестабильным, а во-вторых, к 30 сентября 2022 г., по данным издания CyberNews, название NJVC из списка жертв исчезло.
«Скорее всего, это означает, что NJVC договорились со злоумышленниками и выплатили выкуп, - полагает Анастасия Мельникова, директор по информационной безопасности компании SEQ. - Но не исключено, что сайт утечек BlackCat подвергся интенсивной DDoS-атаке, которая могла использоваться как своеобразный козырь при переговорах со злоумышленниками. BlackCat известны крайне агрессивным методом вымогательства: они требуют деньги и за расшифровку файлов, и возвращение украденных данных, и изводят жертву различными способами (в том числе, DDoS-атаками), чтобы принудить ее выплатить выкуп целиком. Однако, как говорится, в эти игры можно играть вдвоем».
Шифровальщики BlackCat (также известные как ALPHV, AlphaVM, AlphaV) - это целое семейство вымогательских программ, написанных на относительно экзотичном языке Rust. Примерное время появления BlackCat - осень 2021 г.
Создатели шифровальщика эксплуатируют модель RaaS (Ransomware as a Service – шифровальщик как услуга), сдавая инфраструктуру вредоноса в аренду многочисленным партнерам, которые и осуществляют непосредственные атаки на жертв.
Среди пострадавших к настоящему времени - крупная немецкая топливная компания OilTakningGmbH, швейцарская авиакомпания Swissport и другие фирмы. Операторы шифровальщика предпочитают крупные организации, связанные с критической инфраструктурой, в т.ч. энергетическим, финансовым, юридическим и технологическим секторами.