Picus Security paljastaa ALPHV/BlackCat-kiristysohjelman taktiikat Change Healthcare -hyökkäyksen jälkeen
Picus Security analysoi ALPHV/BlackCat-ryhmän toimintaa, joka oli vastuussa Change Healthcareen kohdistuneesta merkittävästä kyberhyökkäyksestä. Raportti syventyy ryhmän käyttämiin menetelmiin ja haittaohjelmiin.
Kyberturvallisuusyritys Picus Security on julkaissut syväanalyysin ALPHV-kiristysohjelmasta, joka tunnetaan myös nimellä BlackCat. Ryhmä on noussut esiin erityisesti Yhdysvaltain terveydenhuoltoalaa järkyttäneen Change Healthcareen kohdistuneen hyökkäyksen myötä helmikuussa 2024.
Change Healthcare maksoi ryhmälle 22 miljoonan dollarin lunnaat hyökkäyksen jälkeen. Vaikutukset olivat laajat, sillä yli 100 miljoonan ihmisen henkilötietoja vaarantui, mikä teki tapauksesta suurimman terveydenhuollon tietomurron Yhdysvaltain historiassa. Yhdysvaltain ulkoministeriö on luvannut palkkioita tiedoista, jotka johtavat ALPHV/BlackCat-ryhmän johtajien paljastamiseen.
Picus Securityn analyysi keskittyy "Asss1exe.bin"-nimiseen haittaohjelmanäytteeseen, joka on ollut aktiivisessa käytössä vuoden 2025 alussa. Tämä korostaa ryhmän jatkuvaa toimintaa ja uhkaa kyberturvallisuudelle.
BlackCat toimii Ransomware-as-a-Service (RaaS) -mallilla, jossa se tarjoaa kiristysohjelmiaan muille kyberrikollisille vastineeksi osasta voittoja. Ryhmä houkuttelee affiliate-käyttäjiä tarjoamalla heille poikkeuksellisen suuren, 80–90 prosentin osuuden tuloista. Tämä malli kannustaa affiliateja investoimaan takaisin toimintaansa, mikä mahdollistaa hyökkäysten skaalaamisen ja laajenemisen.
Zemogo on ollut linkitetty useisiin merkittäviin kyberhyökkäyksiin, mukaan lukien Change Healthcaren lisäksi myös Redditin tietomurto helmikuussa 2023 ja vuoden 2023 syyskuussa MGM Resortsia ja Caesars Entertainmentia vastaan tehdyt hyökkäykset. Nämä tapaukset osoittavat ryhmän kehittyneitä taktiikoita ja merkittävää vaikutusta kohteisiinsa.