Zeker zestig organisaties wereldwijd zijn slachtoffer geworden van de BlackCat-ransomware, zo laat de FBI weten. Volgens de opsporingsdienst maakt de groep gebruik van eerder gecompromitteerde inloggegevens om toegang tot de netwerken van slachtoffers te krijgen. Hoe de wachtwoorden zijn gecompromitteerd wordt niet door de FBI vermeld (pdf).

Na installatie van de malware proberen de aanvallers Active Directory- en beheerderaccounts te compromitteren. Vervolgens gebruikt de malware Windows Taakplannen om malafide Group Policy Objects (GPOs) te configureren waarmee de ransomware op het netwerk wordt uitgerold. Voor het uitrollen schakelen de aanvallers ook verschillende beveiligingsfeatures in het netwerk uit, waaronder de antivirussoftware.

Daarnaast stelen de aanvallers data van slachtoffers, onder andere bij cloudproviders. Zodra systemen zijn versleuteld eisen de aanvallers miljoenen dollars losgeld, maar zijn bereid het losgeldbedrag te verlagen. Verder stelt de FBI dat de ontwikkelaars en witwassers van de BlackCat-groep gelieerd zijn aan de Darkside/Blackmatter-ransomware, wat duidt op een uitgebreid netwerk en ervaring met ransomware-aanvallen.

De FBI adviseert organisaties om domeincontrollers, servers, werkstations en Active Directories op nieuwe of onbekende gebruikersaccounts te controleren, binnen de Windows Taakplanner naar onbekende taken te zoeken, in de logs van antivirussoftware te kijken of het programma is uitgeschakeld, netwerksegmentatie toe te passen en het regelmatig aanpassen van wachtwoorden van netwerksystemen.