В мире киберпреступности BlackCat, также известная как ALPHV, прочно зарекомендовала себя как одна из самых профессиональных и опасных группировок. Эта организация работает по модели RaaS, объединяя высокотехнологичный код на Rust с гибкой операционной моделью и агрессивным маркетингом в даркнете. Cyber Media разбирает, кто стоит за BlackCat, как их методы соотносятся с другими крупными группами и почему они так успешны.
Содержание статьи:
Первые сообщения о BlackCat, или ALPHV, появились в конце 2021 года. Группировка быстро зарекомендовала себя как одна из самых профессиональных и опасных RaaS-платформ в мире. С первых кампаний группа привлекла внимание ИБ-специалистов и правоохранителей благодаря продуманной организации, высокой технологичности и широкому спектру атак. Использование языка Rust дало преимущество по скорости, устойчивости к отладке и кроссплатформенности, что позволило работать как на Windows, так и на Linux.
С самого начала BlackCat развивалась по модели RaaS: ядро команды разрабатывает основной код и поддерживает инфраструктуру, а партнеры-операторы получают доступ к инструментам для проведения собственных атак. Такая структура делает платформу масштабируемой и одновременно скрытной — многие жертвы даже не подозревают, что имеют дело с одним и тем же ядром разработчиков.
Сегодня BlackCat воспринимают не просто как «еще один шифровальщик», а как полноценную экосистему, где технологии, бизнес-модель и умелый маркетинг создают формулу опасности и эффективности.
BlackCat стала первой крупной RaaS-платформой, которая с самого начала строилась на Rust, и это не случайно. Rust позволяет создавать модульные, безопасные и производительные компоненты, минимизируя уязвимости, которые часто встречаются в C/C++-решениях классических шифровальщиков. Для атакующих это означает устойчивость к отладке и статическому анализу, а также удобство быстрой интеграции новых функций без риска разрушить основную архитектуру.
Ярослав Яцкевич
Аналитик ИБ SkyDNS
Похожесть BlackCat (ALPHV) на BlackMatter не вызывает удивления — группировка изначально не скрывала, что нанимает разработчиков из BlackMatter. Это подтверждается рядом артефактов. В кодовой базе BlackCat, написанной на Rust, можно увидеть схожую структуру конфигурационного файла с идентичными именами ключей, списков и параметров. Это прямой маркер, указывающий на копирование схемы и архитектуры BlackMatter.
Также наблюдается использование модифицированных инструментов эксфильтрации ExMatter и Fendr, ранее применявшихся в операциях BlackMatter. Кроме того, ставка на мультиплатформенность за счет Rust, с акцентом на ESXi (VM гипервизоры) указывает на идейную и техническую преемственность. Все это формирует общее ощущение единой школы разработки с четко узнаваемым стилем.
Но еще интереснее — следы наследия BlackMatter, заметные в коде и структуре платформы. Эксперты отмечают:
Эти маркеры не только позволяют экспертам проводить классификацию кода и связывать кампании, но и дают понимание, что BlackCat — не случайная разработка, а продукт команды с опытом крупных атак. В совокупности Rust и технические практики BlackMatter делают платформу гибкой, трудно анализируемой и готовой к масштабированным кампаниям.
BlackCat строит свою инфраструктуру как многоуровневую и распределенную систему, что делает ее устойчивой к блокировке и отслеживанию. Центральные элементы включают серверы управления и контроля (C2), защищенные многоступенчатой аутентификацией, и распределенные узлы, через которые проходят команды и данные. Каналы C2 зашифрованы и часто используют нестандартные протоколы или туннелирование через легитимные сервисы, что усложняет мониторинг и детекцию.
Методы шифрования файлов и управления ключами демонстрируют высокую зрелость: криптографические алгоритмы и схемы генерации ключей тщательно продуманы, а обмен ключами часто скрыт за несколькими слоями кодирования и сетевых протоколов. Такой подход снижает риск утечки ключей и повышает устойчивость к попыткам дешифрования.
Максим Захаренко
СЕО «Облакотека»
Такие маркеры есть: использование русскоязычных библиотек и тулзов для внутренних CI/CD-цепочек, привычка строить инфраструктуру на VPS-провайдерах из постсоветского пространства, использование часовых поясов и cron-паттернов, подстроенных под МСК. Получившаяся картина очень плохо сочетается с американскими или азиатскими практиками, но идеально совпадает с тем, как исторически работают команды из СНГ.
Особый интерес представляют слабосвязанные, но устойчивые технические маркеры, которые помогают аналитикам связывать кампании с регионом происхождения разработчиков. Для групп из Восточной Европы и СНГ характерны:
Хотя эти маркеры сами по себе не указывают на конкретного разработчика, их совокупность создает «отпечаток» IT-ландшафта, который позволяет экспертам делать выводы о происхождении групп и предугадывать тактики будущих атак.
BlackCat построила свою работу по модели RaaS (Ransomware-as-a-Service), которая сочетает технологическую платформу и бизнес-подход. Ядро команды разрабатывает и поддерживает инструменты, а партнеры-операторы получают доступ к инфраструктуре и методикам проведения атак. Такое разделение ролей позволяет одновременно масштабировать кампании и сохранять контроль над качеством атак.
Особое внимание уделяется маркетингу и поддержке операторов. BlackCat активно ведет «рекламные» кампании в даркнете, поддерживает сайты утечек данных и предоставляет партнерам инструкции, консультации и рекомендации по увеличению доходности. Такой подход повышает доверие и стабильность работы платформы, превращая ее в востребованный сервис среди операторов.
Сергей Сидорин
Руководитель третьей линии аналитиков Центра мониторинга и противодействия кибератакам IZ:SOC
Есть несколько основных причин, которые отличают BlackCat и объясняют успех их RaaS-платформы. Во-первых, это профессиональная группировка, собранная из членов других ранее известных групп. Она работает как большой плавильный котел: хакеры делятся опытом, устраняют ошибки и перенимают лучшие практики.
Во-вторых, одно из самых существенных отличий BlackCat от других группировок, занимающихся программами-вымогателями, заключается в том, что вредоносное ПО BlackCat написано на языке Rust, что необычно для разработчиков вредоносного ПО. Инфраструктура их веб-сайтов также разработана иначе, чем у других групп, занимающихся программами-вымогателями. Благодаря развитым возможностям кросс-компиляции Rust, образцы вредоносного ПО встречаются как для Windows, так и для Linux. Другими словами, BlackCat внедрил постепенные усовершенствования и смену технологий для решения задач разработки программ-вымогателей.
В-третьих, их преимущество — гибкость кода: аффилиаты получают возможность кастомизировать сборки под конкретные цели, например, размер выкупа, методы шифрования, способы распространения.
В-четвертых, высокая доля прибыли для партнеров: по разным данным, до 80–90% выкупа остается аффилиатам, что значительно выше среднего по рынку.
В совокупности технологическая зрелость, продуманная операционная модель и маркетинговая стратегия делают BlackCat одной из наиболее успешных и узнаваемых RaaS-платформ на мировом рынке. Для ИБ-специалистов это означает, что методы группы задают стандарты, на которые нужно ориентироваться при построении защиты.
С момента появления BlackCat (ALPHV) она успела проявить себя в ряде громких кампаний, которые серьезно потрясли корпоративный и государственный сектор. В феврале 2024 года дочерняя компания UnitedHealth Group, Change Healthcare, стала жертвой атаки BlackCat: было скомпрометировано около 190 миллионов записей о пациентах, а сумма выкупа достигала $22 миллионов.
В 2023 году платформа атаковала Reddit, похитив 80 ГБ данных и требуя $4,5 миллиона, но при этом без шифрования, что демонстрирует гибкость подходов к вымогательству.
В Европе BlackCat атаковала государственные структуры Австрии, включая федеральную землю Каринтия, вызвав перебои в предоставлении государственных услуг.
BlackCat использует разнообразные методы для проникновения в сети жертв:
После проникновения BlackCat использует шифрование данных с помощью алгоритмов AES или ChaCha20, а также может проводить вымогательство без шифрования, как в случае с Reddit. Группа активно использует даркнет для публикации украденных данных и ведения переговоров о выкупе.
Эти атаки оказали заметное влияние на рынок киберпреступности. Модель RaaS, в которой ядро команды создает инструменты, а партнеры получают большую часть прибыли, стала привлекательной для других группировок, задавая новые стандарты для операций с шифровальщиками. Методы и подходы BlackCat активно копируются конкурирующими командами, формируя общий набор практик для современного рынка киберугроз.
Защита современных организаций от RaaS-платформ требует комплексного подхода: технологии, процессы и обучение персонала должны работать в связке. Основные меры включают:
Совокупность этих мер создает устойчивую защиту. Проникновение становится сложным и дорогостоящим для злоумышленников, а последствия возможной атаки — контролируемыми и минимизированными.
BlackCat демонстрирует, как киберпреступность может объединять технологии, бизнес-модель и маркетинг для создания мощной и устойчивой RaaS-платформы. Сочетание профессиональной кодовой базы на Rust, гибкой операционной модели и масштабируемой сети партнеров делает группу опасной и влиятельной на мировом рынке киберугроз. Для ИБ-специалистов урок ясен: защита от таких шифровальщиков требует комплексного подхода — от технологий и процессов до постоянного мониторинга и обучения персонала. А наблюдение за действиями BlackCat и понимание их методов помогает предугадывать новые угрозы и своевременно укреплять оборону.
Природные катаклизмы, пожары или кибератаки на ЦОД могут привести к авариям в его инженерных системах, а значит к простоям и убыткам в бизнесе.
Кибербезопасность всегда развивается и трансформируется — автоматизация, ИИ и новые регуляторные требования формируют и совершенно иной рынок труда.
Успешный переход на аутсорсинг ИБ – это не просто смена парадигмы мышления, а стратегическое партнерство, способное усилить имеющиеся возможности киберзащиты.
Почтовый сервис Hotmail появился почти 30 лет назад и стал символом ранней эры интернета.
Поиск человека по фотографии давно перестал быть уделом спецслужб.
С ростом автоматизации бизнес-процессов появляются все новые типы рисков: компрометация API-интеграций, ошибки в конфигурации облачных сервисов, несанкционированные обращения к базам данных и утечки через внешние модули — считает директор по разработке компании Neuro.
DNS-серверы без преувеличения можно назвать критически важным элементом современной ИТ-инфраструктуры.
Безопасность цифровых документов и учетных записей не ограничивается рамками паролей.
Кибербезопасность в банковском секторе — это всегда про масштаб и сложность.
Для многих слово «даркнет» звучит как название подпольного клуба, куда ходят только хакеры и преступники.
