Что такое программа-вымогатель BlackCat в мире криптовалют

14 окт. 2025 г.
Что такое программа-вымогатель BlackCat в мире криптовалют

Ключевые выводы

• BlackCat/ALPHV — одна из ключевых групп RaaS, активно использующая криптовалюту для получения выкупа и отмывания.

• Несмотря на действия правоохранителей, стратегия BlackCat (кража данных → шифрование → вымогательство) стала индустриальным стандартом.

• Организации, работающие с криптой, уязвимы из-за горячих кошельков и высокой доступности своих систем.

• Перед оплатой выкупа обязательно проконсультируйтесь с юристами и правоохранительными структурами.

• Аппаратные кошельки, такие как OneKey, позволяют хранить приватные ключи оффлайн и защищают активы даже при заражении рабочих машин.

BlackCat, также известный под именем ALPHV, — один из самых известных операторов программ-вымогателей в модели RaaS (ransomware-as-a-service, «вымогатель как услуга»), активно использующий криптовалюты для получения выкупа и отмывания средств. Благодаря модульной архитектуре кода, продуманной партнерской программе и агрессивным тактикам двойного и тройного вымогательства, BlackCat атакует организации в сфере здравоохранения, финансов, энергетики и технологий по всему миру. Хотя в конце 2023 года правоохранительные органы нарушили работу части их инфраструктуры, а в 2024 году громкие инциденты серьёзно подорвали репутацию бренда, методы, внедрённые BlackCat и его партнерами, продолжают оказывать влияние на всю экосистему программ-вымогателей. Для пользователей криптовалют и компаний в блокчейн-сфере понимание тактики BlackCat и способов использования криптовалют может снизить риски и повысить готовность к инцидентам.

Для получения технических сведений и индикаторов заражения рекомендуем ознакомиться с сообщением CISA: CISA: ALPHV/BlackCat Ransomware (Alert)

Кто такие BlackCat и почему это важно для криптовалютной отрасли?

  • Модель RaaS (вымогатель как услуга): BlackCat работает по франшизной схеме — разработчики создают и поддерживают вредоносное ПО, а партнеры (аффилиаты) осуществляют проникновение в системы жертв и делят прибыль.
  • Многоуровневое вымогательство: Помимо шифрования данных, в ходе атак BlackCat часто похищаются конфиденциальные данные, жертвам угрожают публикацией утечек, а сотрудники компаний подвергаются преследованию.
  • Криптовалюта как основной способ оплаты: Пострадавшие обычно получают инструкции по оплате выкупа в Bitcoin или анонимных криптовалютах (чаще в Monero) через специальные порталы с ограниченным во времени «скидочным» выкупом.

Правоохранительные органы уже проводили операции против инфраструктуры BlackCat. В частности, в США была временно закрыта утечечная площадка ALPHV/BlackCat, также были опубликованы расшифровщики для помощи пострадавшим. Подробнее: Министерство юстиции США: операция по нарушению работы ALPHV/BlackCat

Тем не менее, аффилиаты и подражатели продолжают активную деятельность. Группа приобрела еще большую известность после инцидента с Change Healthcare в 2024 году: по сообщениям СМИ, компания выплатила $22 млн в криптовалюте, после чего BlackCat ушли в «скам с выходом». Подробнее: BleepingComputer: Change Healthcare reportedly paid $22 million ransom to ALPHV и BleepingComputer: ALPHV shuts down, steals $22 million ransom in exit scam

Как BlackCat использует криптовалюту

  • Каналы оплаты: Обычно выкуп указывается в BTC или XMR. Биткойн предлагает ликвидность и трассировку транзакций, а Monero обеспечивает высокую степень конфиденциальности.
  • Отмывание средств: Вырученные средства проходят через миксеры, переходы между биржами и кросс-чейн мосты. Потоки BTC можно анализировать, но Monero затрудняет отслеживание.
  • Разделение прибыли: В RaaS-модели аффилиаты получают свою долю с каждой атаки — это часто видно, когда средства быстро распределяются по нескольким кошелькам после получения.

Аналитические отчёты от компаний CrowdStrike и Palo Alto Networks содержат детальную информацию об инструментах, тактике и способах монетизации группы. См. ссылки: CrowdStrike Intelligence on ALPHV/BlackCat и Unit 42: BlackCat Ransomware Analysis

Паттерны атак, на которые стоит обратить внимание

  • Первоначальный доступ: Часто осуществляется через украденные учетные данные, уязвимые VPN, удаленный рабочий стол, фишинг и массово используемое вредоносное ПО.
  • Быстрое продвижение по сети: После проникновения злоумышленники быстро исследуют инфраструктуру в поисках резервных копий и критичных узлов — включая горячие кошельки и производственные системы.
  • Сначала кража данных, потом шифрование: Данные обычно выгружаются в облачные хранилища или на bulletproof-хостинг до запуска шифровальщика.

Если ваша организация управляет криптотрезорами, биржами или инфраструктурой DeFi, последствия атаки могут выйти далеко за пределы серверов. Ключи от горячих кошельков на зараженных машинах могут быть скомпрометированы, а простой систем — отразиться на ваших продуктах и клиентах. Вымогатели могут угрожать слить данные о клиентах или остатки на кошельках.

Стоит ли когда-либо платить выкуп?

Оплата — рискованный шаг. Она не гарантирует восстановление и может повлечь правовые последствия. В США регуляторы предупреждают о возможных санкциях за платежи в адрес определенных лиц или стран. Подробнее: Министерство финансов США: рекомендации по оплате выкупа

Перед принятием решения обратитесь в правоохранительные органы и проконсультируйтесь с юристами. Дополнительные ресурсы: FBI: рекомендации по программам-вымогателям и портал No More Ransom, предлагающий инструменты расшифровки и отчетности.

Практическая защита для криптоориентированных компаний

  • Укрепление защиты учетных записей и конечных устройств

    • Обязательная MFA, устойчивое к фишингу
    • Регулярная ротация паролей, отключение устаревших протоколов
    • Быстрое обновление уязвимых сервисов, доступных в интернете

  • Сегментирование и защита критичной инфраструктуры

    • Изоляция сборочных линий, ключей подписи и трезоров
    • Ограниченный доступ к горячим кошелькам; автоматизированные политика транзакций вместо ручных переводов

  • Рабочие резервные копии

    • Оффлайн и неизменяемые бэкапы после каждого обновления инфраструктуры и трезора (без хранения приватных ключей в открытом виде)
    • Регулярное тестирование восстановления

  • Архитектура трезора с устойчивостью к вымогательству

    • Большинство средств — в холодном хранении
    • Операционные кошельки — с мультиподписью и дневными лимитами
    • Приватные ключи — оффлайн, с разграничением доступа и защищенными аппаратными устройствами

  • Готовность к инцидентам

    • Подготовленные сценарии реагирования на вымогателей и утечки данных
    • Налаженные отношения с командами цифровой криминалистики и отслеживания криптотранзакций
    • Мониторинг утечечных сайтов и ончейн-активности с идентификаторами вашей компании

Совместное руководство от CISA по ALPHV/BlackCat содержит рекомендации по защите, индикаторы компрометации и шаги по смягчению последствий. Подробнее: CISA: ALPHV/BlackCat Ransomware (Alert)

Что это значит для обычных криптопользователей

Хотя корпоративные программы-вымогатели нацелены прежде всего на компании, их последствия касаются обычных пользователей, когда под удар попадают биржи, платёжные шлюзы или криптосервисы. Чтобы снизить риски:

  • Храните ключи оффлайн. Не держите сид-фразы или кошельки на рабочих ноутбуках.
  • Проверяйте источник ПО. Скачивайте кошельки только из официальных репозиториев.
  • Не доверяйте сообщениям поддержки и подозрительным ссылкам. Фишинг — по-прежнему основной вектор изначального проникновения.
  • Делайте бэкапы. Постоянные резервные копии помогут при заражении устройства.

Какую роль играет аппаратный кошелёк

Программы-вымогатели обычно шифруют файлы и операционные системы, но не могут физически затронуть аппаратные кошельки. Однако горячие кошельки и сид-фразы, хранящиеся на зараженных устройствах, под угрозой. Хранение закрытых ключей на аппаратном кошельке снижает вероятность потери средств.

OneKey разработан для безопасного оффлайн-хранения ключей и подтверждения транзакций — идеальная база для криптотрезоров с минимальной экспозицией горячих кошельков. Полезные функции в случае инцидента:

  • Оффлайн-подпись: Приватные ключи не соприкасаются с устройствами, подключенными к интернету.
  • Поддержка мульти-сетей: Безопасные операции в BTC, ETH и других блокчейнах на одном защищённом устройстве.
  • Безопасная архитектура: Жесткая изоляция критичных данных, поддержка multisig и защита парольными фразами.

Если ваша организация усиливает защиту от вымогателей, переведите основную часть активов в холодное хранилище на базе OneKey, а горячие кошельки ограничьте строжайшими политиками доступа и использования.

Основные выводы

  • BlackCat/ALPHV — одна из ключевых групп RaaS, активно использующая криптовалюту для получения выкупа и отмывания, при этом большинства атак совершают её партнеры.
  • Несмотря на действия правоохранителей и утрату репутации, их стратегия (кража данных → шифрование → вымогательство) стала индустриальным стандартом.
  • Организации, работающие с криптой, уязвимы из-за горячих кошельков и высокой доступности своих систем — защита требует холодного хранения, сегментации и готовности к инцидентам.
  • Обязательно проконсультируйтесь с юристами и правоохранительными структурами перед оплатой выкупа — возможна ответственность за нарушение санкционного режима.
  • Аппаратные кошельки, такие как OneKey, позволяют хранить приватные ключи оффлайн и защищают активы даже при заражении рабочих машин.

Следите за обновлениями и рекомендациями на официальных ресурсах, таких как портал CISA по программам-вымогателям и руководства ФБР.

Защитите свое криптопутешествие с OneKey

View details for Магазин OneKeyМагазин OneKey

Магазин OneKey

Самый продвинутый аппаратный кошелек в мире.

View details for Загрузить приложениеЗагрузить приложение

Загрузить приложение

Предупреждения о мошенничестве. Поддержка всех монет.

View details for OneKey SifuOneKey Sifu

OneKey Sifu

Ясность в криптовалюте — на расстоянии одного звонка.

Читать дальше