Η Microsoft ανακάλυψε μια νέα έκδοση του ransomware BlackCat που ενσωματώνει το πλαίσιο δικτύωσης Impacket και το εργαλείο hacking Remcom, τα οποία επιτρέπουν την πλευρική εξάπλωση σε ένα παραβιασμένο δίκτυο.
Δείτε επίσης: BlackCat: Νέα στρατηγική εκβιασμού προσθέτει API διαρροής δεδομένων
Τον Απρίλιο, ο ερευνητής κυβερνοασφάλειας VX-Underground έγραψε στο Twitter για μια νέα έκδοση του κρυπτογραφήματος BlackCat/ALPHV με την ονομασία Sphynx.
“Είμαστε στην ευχάριστη θέση να σας ενημερώσουμε ότι η δοκιμή των βασικών χαρακτηριστικών ALPHV/BlackCat 2.0: Sphynx έχει ολοκληρωθεί”, ανέφεραν οι χειριστές του BlackCat σε ένα μήνυμα προς τους συνεργάτες τους.
“Ο κώδικας, συμπεριλαμβανομένης της κρυπτογράφησης, έχει ξαναγραφτεί εντελώς από την αρχή. Από προεπιλογή, όλα τα αρχεία είναι παγωμένα. Η κύρια προτεραιότητα αυτής της ενημέρωσης ήταν η βελτιστοποίηση της ανίχνευσης από τα AV/EDR”, εξηγούν περαιτέρω οι επιχειρήσεις ransomware.
Αμέσως μετά, η IBM Security X-Force πραγματοποίησε μια βαθιά κατάδυση στο νέο κρυπτογράφημα BlackCat, προειδοποιώντας ότι το κρυπτογράφημα εξελίχθηκε σε μια εργαλειοθήκη.
Αυτό βασίστηκε σε συμβολοσειρές στο εκτελέσιμο αρχείο που έδειχναν ότι περιείχε impacket, το οποίο χρησιμοποιείται για λειτουργίες μετά την εκμετάλλευση, όπως η απομακρυσμένη εκτέλεση και η απόρριψη μυστικών από διεργασίες.
Ο κρυπτογράφος BlackCat Sphynx
Σε μια σειρά αναρτήσεων σήμερα, η ομάδα Threat Intelligence της Microsoft αναφέρει ότι ανέλυσε επίσης τη νέα έκδοση του Sphynx και διαπίστωσε ότι χρησιμοποίησε το πλαίσιο Impacket για να εξαπλωθεί πλευρικά σε δίκτυα που έχουν παραβιαστεί.
“Η Microsoft παρατήρησε μια νέα έκδοση του ransomware BlackCat που χρησιμοποιείται σε πρόσφατες εκστρατείες”, ανέφερε η Microsoft.
“Αυτή η έκδοση περιλαμβάνει το εργαλείο πλαισίου επικοινωνίας ανοιχτού κώδικα Impacket, το οποίο οι δράστες χρησιμοποιούν για να διευκολύνουν την πλευρική μετακίνηση σε περιβάλλοντα-στόχους”.
Το Impacket περιγράφεται ως μια συλλογή κλάσεων Python ανοικτού κώδικα για την εργασία με πρωτόκολλα δικτύου.
Ωστόσο, χρησιμοποιείται πιο συχνά ως μια εργαλειοθήκη μετά την εκμετάλλευση από τους penetration testers, τους red teamers και τους δράστες για την πλευρική εξάπλωση σε ένα δίκτυο, την απόρριψη διαπιστευτηρίων από διεργασίες, την εκτέλεση επιθέσεων αναμετάδοσης NTLM και πολλά άλλα.
Το Impacket έχει γίνει πολύ δημοφιλές μεταξύ των hackers που παραβιάζουν μια συσκευή σε ένα δίκτυο και στη συνέχεια χρησιμοποιούν το πλαίσιο για να αποκτήσουν αυξημένα διαπιστευτήρια και να αποκτήσουν πρόσβαση σε άλλες συσκευές.
Πρόταση: FIN8: Χρησιμοποιεί μια νέα έκδοση του Sardonic backdoor για να παραδώσει το BlackCat ransomware
Σύμφωνα με τη Microsoft, η επιχείρηση BlackCat χρησιμοποιεί το πλαίσιο Impacket για αντιγραφή διαπιστευτηρίων και εκτέλεση απομακρυσμένων υπηρεσιών για την ανάπτυξη του κρυπτογράφου σε ολόκληρο το δίκτυο.
Εκτός από το Impacket, η Microsoft αναφέρει ότι ο κρυπτογράφος ενσωματώνει το εργαλείο hacking Remcom, το οποίο είναι ένα μικρό απομακρυσμένο shell που επιτρέπει στον κρυπτογράφο να εκτελεί εντολές εξ αποστάσεως σε άλλες συσκευές σε ένα δίκτυο.
Σε μια ιδιωτική συμβουλευτική του Microsoft 365 Defender Threat Analytics που είδε το BleepingComputer, η Microsoft αναφέρει ότι είδε αυτό το νέο κρυπτογραφημένο που χρησιμοποιείται από την BlackCat affiliate “Storm-0875” από τον Ιούλιο του 2023.
Η Microsoft αναγνωρίζει αυτή τη νέα έκδοση ως BlackCat 3.0, παρόλο που, όπως είπαμε προηγουμένως, η επιχείρηση ransomware την αποκαλεί ‘Sphynx’ ή ‘BlackCat/ALPHV 2.0’ στις επικοινωνίες με τις θυγατρικές της.
Μια διαρκώς εξελισσόμενη συμμορία ransomware
Η BlackCat, ή αλλιώς ALPHV, ξεκίνησε τη δράση της τον Νοέμβριο του 2021 και πιστεύεται ότι αποτελεί μετεξέλιξη της συμμορίας DarkSide/BlackMatter, η οποία ήταν υπεύθυνη για την επίθεση στην Colonial Pipeline.
Η συμμορία ransomware θεωρούνταν πάντα μια από τις πιο προηγμένες και κορυφαίες επιχειρήσεις ransomware, εξελίσσοντας συνεχώς τη λειτουργία της με νέες τακτικές.
Για παράδειγμα, ως νέα τακτική εκβιασμού το περασμένο καλοκαίρι, η συμμορία ransomware δημιούργησε έναν ιστότοπο clearweb αφιερωμένο στη διαρροή δεδομένων για ένα συγκεκριμένο θύμα, ώστε οι πελάτες και οι υπάλληλοι να μπορούν να ελέγχουν αν τα δεδομένα τους ήταν εκτεθειμένα.
Πιο πρόσφατα, οι δράστες δημιούργησαν ένα API διαρροής δεδομένων, επιτρέποντας την ευκολότερη διάδοση των κλεμμένων δεδομένων.
Με τον κρυπτογράφο BlackCat να εξελίσσεται από έναν αποκρυπτογράφο σε μια πλήρη εργαλειοθήκη μετά την εκμετάλλευση, επιτρέπει στους συνεργάτες του ransomware να αναπτύσσουν πιο γρήγορα την κρυπτογράφηση αρχείων σε όλο το δίκτυο
Καθώς είναι ζωτικής σημασίας η ανίχνευση επιθέσεων ransomware αμέσως μόλις αυτές εκδηλωθούν, η προσθήκη αυτών των εργαλείων δυσχεραίνει τους φορείς άμυνας.
Διαβάστε επίσης: BlackCat ransomware: Προωθεί το Cobalt Strike μέσω διαφημίσεων αναζήτησης WinSCP
πηγή πληροφοριών:bleepingcomputer.com
