🚀 أصبحت CloudSek أول شركة للأمن السيبراني من أصل هندي تتلقى استثمارات منها ولاية أمريكية صندوق
🚀 أصبحت CloudSek أول شركة هندية للأمن السيبراني تدخل في شراكة مع المكتب الخاص
🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
الصفحة الرئيسية
مراكز استخبارات التهديدات
رانسوم وير

ملف تعريف مجموعة برامج الفدية: BlackCat (AlphV-ng)

قام فريق البحث لدينا بتحليل ملف تعريف مجموعة برامج الفدية التي يطلق عليها اسم BlackCat. لا تتمتع هذه المجموعة بحضور على الإنترنت باستثناء موقع Onion الحصري، حيث تنشر أنشطتها وتحديثاتها والضحايا المستهدفين.
تم التحديث بتاريخ
April 17, 2026
تم النشر في
January 7, 2022
اقرأ الدقائق
5
اشترك في أحدث أخبار الصناعة والتهديدات والموارد.
نوع التقريرتحديد سمات الجهات الفاعلة في مجال التهديدموضوع البحثمقبض ممثل التهديد: BlackCatأعلىأخضر

ملخص تنفيذي

  • كلاود سيكقام فريق أبحاث استخبارات التهديدات بتحليل ملف تعريف مجموعة برامج الفدية التي يطلق عليها اسم BlackCat.
  • لا تتمتع هذه المجموعة بحضور على الإنترنت باستثناء موقع Onion الحصري، حيث تنشر أنشطتها وتحديثاتها والضحايا المستهدفين.
  • BlackCat هي أول مجموعة برامج الفدية الاحترافية المعروفة التي تستخدم لغة برمجة Rust.
  • أجرى فريق استخبارات التهديدات في CloudSek مزيدًا من البحث لتحليل عمليات المجموعة وتكتيكاتها وتقنياتها وإجراءاتها (TTPs).

تحليل مفصل

معلومات من موقع بلاك كات أونيون

  • BlackCat، المعروفة أيضًا باسم ALPHVM، هي مجموعة برامج الفدية الناشئة حديثًا والتي تحافظ على وجودها على الويب المظلم. وهي مرتبطة حاليًا بموقعين مختلفين، موقع تسرب يسمى ALPHVM و BlackCat.

موقع البصل الخاص بـ ALPHVM

معلومات من وسائل التواصل الاجتماعي

  • حظيت BlackCat بالكثير من الاهتمام على Twitter لكونها مجموعة برامج الفدية القائمة على Rust. كانت إحدى المجموعات الأولية من الجهات الفاعلة في مجال التهديد التي استخدمت Rust كجزء من ترسانتها هي برنامج الفدية BadbeeTeam.
  • بعض مستخدمي تويتر مثل أجهزة تتبع الظلام اذكر أن BlackCat لديها أربعة مواقع Onion قيد التشغيل.
  • هناك العديد من التكهنات حول من يمكن أن يكون المشغلون وراء مثل هذه البرامج الضارة المعقدة. ومع ذلك، يزعم الباحثون، إلى جانب بعض الجهات الفاعلة المشهورة في مجال التهديد، أن مشغلي مجموعة BlackCat ransomware كانوا مرتبطين سابقًا بمجموعة Revil ransomware.

معلومات من المناقشات حول منتديات الجرائم الإلكترونية

  • كان ALPHV عضوًا سابقًا في مجموعة Revil، مما يشير إلى أن مجموعة BlackCat ransomware مرتبطة على الأرجح بمجموعة Revil ransomware.
  • ادعى أحد أعضاء مجموعة LockBit رانسوم وير أن BlackCat هي النسخة التي أعيدت تسميتها من BlackMatter/DarkSide.
مشاركة المنتدى
تم نشر المنشور بواسطة ممثل التهديد في منتدى الجرائم الإلكترونية الناطق باللغة الإنجليزية
  • إلى جانب ذلك، هناك مناقشات حول كيفية استخدام المجموعة لمنتديات الجرائم الإلكترونية الروسية لتجنيد الشركات التابعة للعمل معها. كما أنهم حريصون على توظيف المختبرين المهرة في أنظمة التشغيل Windows و Linux و ESXi، وهي أهداف التشفير الخاصة بهم.
  • التقط فريق استخبارات التهديدات في CloudSek منشورات توظيف مماثلة تم نشرها في الفترة من 8 ديسمبر 2021 إلى 12 ديسمبر 2021. تشير المنشورات إلى أن الشركاء سيحصلون على 80٪ -90٪ من مبلغ الفدية النهائي، الذي يتم الحصول عليه من خلال الابتزاز المزدوج.
  • حتى قبل أشهر من ظهور برنامج الفدية BlackCat، تم توزيع كتاب «Black Hat Rust» عبر منتديات الجرائم الإلكترونية، وتم تداول عمليات الوصول إلى أجهزة ESXi بنشاط.
  • حتى الآن، قائمة الضحايا المتضررين من برنامج الفدية ألفا-نغ/بلاك كات هي:
    • ستار وورلد وايد (تم النشر في 30 نوفمبر 2021)
    • شركة نيو سيتي التجارية (تم النشر في 9 ديسمبر 2021)
  • جهة فاعلة في مجال التهديد في منتدى الجرائم الإلكترونية باللغة الإنجليزية، تم طلبها مؤخرًا للشركات التابعة والوصول إليها من بلدان مختارة. تشير صورة الملف الشخصي للممثل ونسب الربح المعروضة إلى أنه يمكن أن يكونوا مشغلين أو شركات تابعة لمجموعة BlackCat ransomware.
  • طلب الممثل الوصول إلى كيانات من البلدان التالية:
    • الولايات المتحدة
    • أوكرانيا
    • سويسرا.
  • لقد قاموا أيضًا بمشاركة بطاقة أسعار للشركات التابعة المحتملة للنظر فيها:


معلومات من المصدر المفتوح

  • أصدرت الجهات الفاعلة في مجال التهديد الآن متغيرات تستند إلى Linux من برنامج BlackCat ransomware.
  • يقوم المستخدمون المشاركون في المناقشات ذات الصلة بإصدار عينات للمتغيرات المستندة إلى Linux.
  • استنادًا إلى eCucert، يُقال إن البرامج الضارة تؤثر على:
    • ويندوز 7 والإصدارات الأحدث (7، 8.1، 10، 11؛ 2008r2، 2012، 2016، 2019، 2022)؛ XP و 2003
    • ESXI (تم اختباره على 5.5 و6.5 و7.0.2 وحدة)
    • ديبيان (تم اختباره على 7 و8 و9)
    • أوبونتو (تم اختباره في 18.04، 20.04)
    • ريدي ناس، سينولوجيا

IOCs الخاصة ببرنامج الفدية BlackCat

متغير ويندوز

  • bd337 d4e83ab1c2cb43e4569 f977 d188 f1b7c7a077026304 bf186 d49d4117
  • 28 × 7 × 6 أقدام 31 × 2 × 2 × 2 × 2 × 32 با 29 × 64 × 87 × 5 × 83 × 2 × 4 د 31 د 565896 هـ 1169
  • 2cf54942e8cf0ef6296 deaa7975618 dff0c32535295 d3f0d5f577552229 ffc
  • 5bdc0fb5cfbd42de726aacc40edca034b5fa4acc88dfb40a3daa18672898
  • 731 دي سي إف 2 دي 7 إف بي 61 أ 833 5 إي 23 دي بي بي إي 24 36 249 إي 5 دي 5753977 ج 465754 سي 6 ب 699 إي 9 بي إف 161
  • 59868 f4b346bd401 e067380 cac69080709 c86e06 fae219 bfb5b17605a71ab3f
  • c8b3b67e4d7625 f8b37b59eed5c9406b3ef04b7a19b97e5d5d5d1b59f283
  • 658e07739 ad0137 قبل الميلاد 910a351 ce3 fe4913f6 cc3f63e6ff2eb726e45 f29 e582
  • 7154fdb1ef9044 da59fcddbd1ed9abc1a594 cacb41a0aeddb5c9fdae5ea8
  • c5ad3534e1c939661 b71f56144 d19ff369e365 fdb47e4f8e2d267 c39376486
  • سيفا 76dfdb48cfe1a3db2c8db34e898e29 bec9b2c13e79 ef40655 c637833 ae
  • 0c6f444c6940 a3688 ffc6f8b9d5774c032e3551 ebbccb64e4280ae7fc1fc479
  • b588823eb5c65f36d067d49681 d9c704d3b57100 c273656a56a56a43215 f35442
  • 7e363 b5f1 با 373782261713 fa99e8 bbc 35 ddda97e48799 c4eb28f17989 da8d
  • 3d7cf20ca6476e140a026 f9bdd8ff1f26f1f2695cd5854 cd3adb 41a6135 ef11b83
  • 38834 b796 ed025563774167716 a477e9217 d45 e47 def 20 facb027325 f2a790 d1
  • 7b2449 bb8 be1b37a9d58c259a67a7a3116 fe640041 d0f36dc 93c3d4487
  • cda37b13d1fde1fede1b4262b5a6146a35d8f88f572e55437 a47a950037 cc65d40
  • f837f1cd60e9941 a60f7be50a8f2aaaaac380f560db8e001408f35c1b7a97cb

متغير لينوكس

  • f8c08d00ff6e8c6adb1a93c133b19302d0b651 afd73c54e3b6ac6ac6c60d99c6
  • 5121f08cf8614 a65d7a86c2f462c0694c132e2877 a7f54ab7fcefd7ee5235a42

 المراجع

[1] https://github.com/CyberSoldiers/IOCs/blob/main/BlackCat_Ransomware 

[2] https://twitter.com/EcuCERT_EC/status/1471506980413997071

 الملحق

برنامج BlackCat التابع في منتدى الجرائم الإلكترونية

اتصال محتمل بالبرنامج التابع لـ BlackCat في منتدى الجرائم الإلكترونية

تظهر الجهات الفاعلة في مجال التهديد اهتمامًا بالعمل مع الشركات التابعة لبرامج الفدية

متغيرات لينكس الناشئة حديثًا من BlackCat Ransomware

CloudSek Platform عبارة عن منصة خالية من التعليمات البرمجية تعمل على تشغيل منتجاتنا بقدرات تحليلية تنبؤية للتهديدات.
المشاركات الأخيرة

المقالات الأخيرة

مطالبة Cowin بتسريب البيانات وتحليل CloudSek
June 12, 2023
تدعي شركة Anonymous Sudan الإزالة الناجحة لأول موقع وتطبيق لبنك أبو ظبي عبر هجمات DDoS
May 29, 2023

احصل على معلومات التهديدات العالمية في الوقت الفعلي

قم بحماية عملك من التهديدات الإلكترونية باستخدام بيانات معلومات التهديدات العالمية في الوقت الفعلي.. تجربة مجانية لمدة 30 يومًا وبدون التزام.
جدولة عرض تجريبي
بيانات معلومات التهديدات في الوقت الحقيقي
مزيد من المعلومات والسياق حول الدردشة تحت الأرض
خدمات البحث حسب الطلب
نموذج لوحة القيادة
موجز معلومات التهديدات العالمية

قم بالحماية والمضي قدمًا الذكاء القابل للتنفيذ

إن Global Cyber Threat Intelligence Feed عبارة عن منصة مبتكرة تجمع المعلومات من مصادر مختلفة لمساعدة الشركات والمؤسسات على البقاء في صدارة الهجمات الإلكترونية المحتملة. توفر هذه الخلاصة تحديثات في الوقت الفعلي للتهديدات الإلكترونية، بما في ذلك البرامج الضارة وعمليات الاحتيال الاحتيالي وغيرها من أشكال الجرائم الإلكترونية.
موثوق بها من قبل أكثر من 400 مؤسسة رائدة
ابدأ
تعرف على المزيد