Το ransomware BlackCat (γνωστό και ως ALPHV) δεν δείχνει σημάδια επιβράδυνσης και το τελευταίο παράδειγμα της εξέλιξής του είναι μια νέα έκδοση του εργαλείου data exfiltration της συμμορίας που χρησιμοποιείται για επιθέσεις διπλού εκβιασμού.
Δείτε επίσης: FBI: Η HomeLand Justice κρυβόταν στο Αλβανικό δίκτυο 14 μήνες
Το BlackCat θεωρείται διάδοχος του Darkside και του BlackMatter και είναι μια από τις πιο εξελιγμένες και τεχνικά προηγμένες λειτουργίες Ransomware-as-a-service (RaaS).
Οι ερευνητές ασφαλείας στη Symantec αναφέρουν ότι ο developer του BlackCat, του πρώτου τύπου ransomware που βασίζεται σεRust, βελτιώνει και εμπλουτίζει συνεχώς το malware με νέες δυνατότητες.
Τον τελευταίο καιρό, η εστίαση φαίνεται να έχει δοθεί στο εργαλείο που χρησιμοποιείται για την εξαγωγή δεδομένων από παραβιασμένα συστήματα, μια βασική προϋπόθεση για τη διεξαγωγή επιθέσεων διπλού εκβιασμού.
Δείτε επίσης: Το Malwarebytes μπλόκαρε Google και YouTube για malware
Με το όνομα “Exmatter”, το εργαλείο χρησιμοποιήθηκε από την κυκλοφορία του BlackCat τον Νοέμβριο του 2021 και ενημερώθηκε εκτενώς τον Αύγουστο του 2022, με τις ακόλουθες αλλαγές:
- Περιορισμός του τύπου αρχείων προς εξαγωγή σε: PDF, DOC, DOCX, XLS, PNG, JPG, JPEG, TXT, BMP, RDP, SQL, MSG, PST, ZIP, RTF, IPT και DWG.
- Προσθήκη του FTP ως επιλογή εξαγωγής εκτός από το SFTP και το WebDav.
- Προσφορά της επιλογής δημιουργίας μιας αναφοράς που περιλαμβάνει όλα τα επεξεργασμένα αρχεία
- Προσθήκη της δυνατότητας “Eraser” δίνοντας την επιλογή να αλλοιωθούν τα επεξεργασμένα αρχεία
- Προσθήκη της επιλογής configuration “Self-destruct” για έξοδο και διαγραφή εάν εκτελεστεί σε μη έγκυρα περιβάλλοντα.
- Κατάργηση της υποστήριξης για το Socks5
- Προσθήκη επιλογής για GPO deployment
Εκτός από τις διευρυμένες δυνατότητες, η πιο πρόσφατη έκδοση Exmatter έχει περάσει από βαριά αναδιαμόρφωση κώδικα εφαρμόζοντας πιο κρυφά υπάρχοντα χαρακτηριστικά για να αποφύγει τον εντοπισμό.
Μια άλλη πρόσφατη προσθήκη στην ικανότητα κλοπής πληροφοριών του BlackCat ransomware είναι η ανάπτυξη ενός νέου malware που ονομάζεται “Eamfo”, το οποίο στοχεύει ρητά τα credentials που είναι αποθηκευμένα σε Veeam backups.
Αυτό το software χρησιμοποιείται συνήθως για την αποθήκευση credentials σε domain controllers και υπηρεσίες cloud, έτσι ώστε οι φορείς ransomware να μπορούν να τα χρησιμοποιούν για βαθύτερη διείσδυση και πλευρική μετακίνηση.
Το Eamfo συνδέεται με τη βάση δεδομένων Veeam SQL και κλέβει τα backup credentials με το ακόλουθο SQL query:
Μόλις εξαχθούν τα credentials, το Eamfo τα αποκρυπτογραφεί και τα εμφανίζει στον απειλητικό παράγοντα.
Οι ερευνητές σημειώνουν ότι το κακόβουλο λογισμικό κλοπής πληροφοριών έχει χρησιμοποιηθεί από άλλες συμμορίες ransomware στο παρελθόν, συμπεριλαμβανομένων των Monti, Yanluowang και LockBit.
Τέλος, η Symantec παρατήρησε ότι η λειτουργία BlackCat έχει δει τη χρήση ενός παλαιότερου βοηθητικού προγράμματος anti-rootkit που καλείται να τερματίσει τις διαδικασίες antivirus.
Μένοντας στην κορυφή
Τον Ιούνιο του 2022, η ομάδα BlackCat εισήγαγε υποστήριξη για κρυπτογράφηση αρχείων σε αρχιτεκτονικές ARM και μια λειτουργία encrypt σε ασφαλή λειτουργία Windows με ή χωρίς δικτύωση.
Εκείνη την εποχή, η συμμορία δημιούργησε και μια ειδική διαδικτυακή πηγή όπου οι άνθρωποι μπορούσαν να αναζητήσουν τα κλεμμένα δεδομένα τους για να αυξήσουν την πίεση στις παραβιασμένες εταιρείες.
Είναι προφανές ότι η BlackCat εξελίσσεται συνεχώς με νέα εργαλεία, βελτιώσεις και στρατηγικές εκβιασμού για να κάνει τη λειτουργία RaaS πιο αποτελεσματική και αποδοτική.
Δείτε επίσης: To domain shadowing γίνεται πολύ δημοφιλές στους χάκερ
Η Symantec αναφέρει ότι οι χειριστές της BlackCat διώχνουν συνεργάτες που δεν είναι τόσο παραγωγικοί όσο θα ήθελαν.
Οι ερευνητές έχουν δει και πρώην συνεργάτες της Conti να μετακινούνται στο BlackCat/ALPHV αφού η συμμορία ransomware Conti σταμάτησε την λειτουργία του ransomware.
Πηγή πληροφοριών: bleepingcomputer.com
 δεν δείχνει σημάδια επιβράδυνσης και το τελευταίο παράδειγμα της εξέλιξής του είναι μια νέα...){kind=link}