חברת הסייבר הישראלית סיגניה (Sygnia) חושפת פרטים חדשים אודות קבוצת תקיפה המכונה BlackCat, שנחשבת לאחת המתוחכמות והפעילות ביותר בעולם. הקבוצה, שנחשפה לראשונה בנובמבר 2021, מתמקדת בתקיפת ארגונים רב-מגזריים ובינלאומיים בעלי פרופיל גבוה. בסיגניה נקראו לחקור פעילויות חשודות ברשת הלקוח, שזוהו בסופו של דבר כמתקפת סחיטה פיננסית שכללה דלף מידע מסיבי ובוצעה על-ידיBlackCat או אחת הקבוצות המסונפות לה.
צוות סיגניה, בהובלת אורן בידרמן, מספק תיאור מפורט, שלב אחר שלב, של כל הפעולות שבוצעו על-ידי קבוצת BlackCat במהלך תקיפה של לקוח שפנה לעזרת סיגניה. החוקרים גם מספקים עצות עבור ארגונים וחברות כיצד להתגונן מבעוד מועד מפני מתקפות דומות. זאת, בהתבסס על פעילות הגנתית שבוצעה עבור הלקוח המדובר, שהותקף על-ידי הקבוצה במהלך 2023. כמו קבוצות כופר אחרות, BlackCat משתמשת במודל עסקי של Ransomware-as-a-Service, המאפשר לשותפים שלה למנף את הכלים והתשתית שלהם לכדי מתקפות כופר וסחיטה.
החקירה המוקדמת של סיגניה חשפה אינדיקציות למתקפת כופר אפשרית שעלולה לגרום להצפנה של כלל המידע הארגוני. לבסוף, מתקפת הסייבר נבלמה, באמצעות פעולות מיידיות שביצע צוות ה-IT של הלקוח, בעיקר חסימת כל תעבורת הכניסה והיציאה מנכסי הרשת המרכזית וממנה.
מאחר וההאקרים נכשלו בביצוע התקיפה במלואה או במחיקת עקבות ראיות בתוך הרשת, החקירה המקיפה שבוצעה על-ידי סיגניה לאחר מכן, הביאה למכלול נרחב וייחודי של ממצאים הנוגע לדרכי הפעולה, הטקטיקות, הטכניקות והנהלים (TTP) של קבוצת BlackCat, כמו גם אינדיקטורים של מזהי תקיפה. במקרה זה, הארגון הנפגע חסם גישה לאינטרנט מתוך הרשת הפנים-ארגונית אבל לא מסביבת הענן של הארגון. מכיוון ששתי הסביבות היו מקושרות באמצעות Azure express route, קבוצת התקיפה שמרה על גישה לרשת של הקורבן, תוך עקיפת חומת האש הארגונית.
לדברי אורן בידרמן, מומחה בכיר לזיהוי ותגובה לאירועי סייבר, סיגניה, "לאחרונה, זיהינו מגמה של תקיפת חברות גדולות באמצעות תקיפת צדדים שלישיים בעלי אבטחה פחות חזקה. מגמה זו ממחישה עד כמה קריטי שחברות יבצעו מיפוי קפדני של חיבורי הרשת עם ספקיהן, ויגבילו את גישת הספקים למינימום הנדרש. לארגונים צריכה להיות תוכנית מוגדרת מראש לצמצום מתקפות כופר. במקרה זה, שחקן האיום לא הצליח לבצע הצפנה של הרשת, שכן הקורבן היה מוכן לחסום מיד את הגישה לאינטרנט כאמצעי מקל. אין ספק כי חסימת קישוריות האינטרנט של רשתות גדולות היא משימה מאתגרת עבור מנהלי רשתות שצריכים במקביל לשמר את ההמשכיות העסקית של החברה, אך מאמץ מתמיד בכיוון זה עשוי לעשות את ההבדל".