Νέα παραλλαγή του BlackCat Ransomware υιοθετεί τα προηγμένα εργαλεία Impacket και RemCom.
Την Πέμπτη, η Microsoft αποκάλυψε ότι ανακάλυψε μια νέα έκδοση του BlackCat ransomware (επίσης γνωστό ως ALPHV και Noberus), η οποία ενσωματώνει εργαλεία όπως το Impacket και το RemCom για να διευκολύνει την πλευρική κίνηση και την απομακρυσμένη εκτέλεση κώδικα.
Η ομάδα της Microsoft δήλωσε σε μια σειρά αναρτήσεων στο X (πρώην Twitter) ότι το εργαλείο Impacket διαθέτει ενότητες απόκτησης διαπιστευτηρίων και εκτέλεσης απομακρυσμένων υπηρεσιών, τα οποία μπορούν να χρησιμοποιηθούν για ευρεία εξάπλωση του κακόβουλου λογισμικού BlackCat σε στοχευμένα περιβάλλοντα.
Δείτε επίσης: Donald Trump: Defacement στο site “Patriot Legal Defense Fund”
Mark Zuckerberg: Ο δεύτερος πλουσιότερος άνθρωπος
Ένα «νέο αστέρι» φωτίζεται στο νυχτερινό ουρανό
Mark Zuckerberg: Έγινε ο δεύτερος πλουσιότερος άνθρωπος! 💰💰
Η συγκεκριμένη έκδοση του BlackCat περιλαμβάνει και το hacktool εργαλείο RemCom ενσωματωμένο στο εκτελέσιμο για απομακρυσμένη εκτέλεση κώδικα. Το αρχείο περιέχει και σκληροκωδικοποιημένα διαρρεύσαντα credentials στόχων που οι δράστες χρησιμοποιούν για πλευρική κίνηση και περαιτέρω εξάπλωση κακόβουλου λογισμικού.
Το RemCom, που προωθείται ως μια ανοιχτή εναλλακτική λύση για το PsExec, έχει χρησιμοποιηθεί από εθνικούς απειλητικούς παράγοντες όπως οι Dalbit και Chafer (επίσης γνωστοί ως Remix Kitten) από την Κίνα και το Ιράν για την κίνηση σε περιβάλλοντα θυμάτων στο παρελθόν.
Η Redmond ανέφερε ότι ξεκίνησε να παρατηρεί την νέα μεταβλητή σε επιθέσεις που διεξήγαγε μια θυγατρική εταιρεία της BlackCat τον Ιούλιο του 2023.
Η ανάπτυξη έρχεται μετά από δύο μήνες από την αποκάλυψη λεπτομερειών από το IBM Security X-Force για την ενημερωμένη έκδοση του BlackCat, που ονομάζεται Sphynx, και πρωτοεμφανίστηκε τον Φεβρουάριο του 2023 με βελτιωμένη ταχύτητα κρυπτογράφησης και αόρατη λειτουργία. Αυτό δείχνει τη συνεχή προσπάθεια των απειλητικών παραγόντων να τελειοποιήσουν και να εξελίξουν το ransomware.
Η ομάδα κυβερνοεγκληματιών, που ξεκίνησε τη λειτουργία της τον Νοέμβριο του 2021, χαρακτηρίζεται από συνεχή εξέλιξη, έχοντας πρόσφατα κυκλοφορήσει μια διαρροή δεδομένων API για να ενισχύσει την ορατότητα των επιθέσεών της. Σύμφωνα με την Ανασκόπηση Απειλών για το Πρώτο Εξάμηνο του 2023 από τη Rapid7, το BlackCat έχει αποδοθεί σε 212 από τις συνολικά 1.500 επιθέσεις ransomware.
Το ransomware παραμένει ένας σημαντικός παράγοντας χρηματοδότησης για τους απειλητικούς παράγοντες με οικονομικά κίνητρα, καθώς αυξάνεται τόσο σε πολυπλοκότητα όσο και σε ποσότητα το πρώτο εξάμηνο του 2023 σε σχέση με όλο το 2022, παρά τις εντατικές προσπάθειες επιβολής του νόμου για την εξάλειψή τους.
Δείτε επίσης: Google Chrome: Θα προειδοποιεί για την κατάργηση επεκτάσεων που είναι malware
Ορισμένες ομάδες έχουν αρχίσει να απομακρύνονται από την κρυπτογράφηση και να επικεντρώνονται αποκλειστικά στην τριπλή εκβίαση, ή εναλλακτικά, να υποκύπτουν στην τριπλή εκβίαση, όπου οι επιθέσεις υπερβαίνουν την κρυπτογράφηση και την κλοπή δεδομένων για να εκβιάσουν τους υπαλλήλους ή τους πελάτες του θύματος και να διεξαγάγουν επιθέσεις DDoS για να ασκήσουν περισσότερη πίεση.
Μια δεύτερη αυξανόμενη τάση μεταξύ των δραστών κακόβουλου λογισμικού είναι η υιοθέτηση διακοπτόμενης κρυπτογράφησης για να κρυπτογραφήσουν μόνο μέρη κάθε αρχείου, προκειμένου να επιταχύνουν τη διαδικασία και να αποφύγουν τον εντοπισμό από λύσεις ασφαλείας που “χρησιμοποιούν τον όγκο του περιεχομένου που γράφεται στον δίσκο από ένα διεργασία στην ευρετική τους για τον εντοπισμό κακόβουλου λογισμικού.”
Μια άλλη ενδιαφέρουσα τακτική είναι ο στόχευση των παρόχων υπηρεσιών διαχείρισης (MSPs) ως σημεία εισόδου για την παραβίαση επιχειρηματικών δικτύων προς τα κάτω, όπως φαίνεται σε μια επιθετική εκστρατεία ransomware με την ονομασία Play που στοχεύει τις επιχειρήσεις του χρηματοοικονομικού, λογισμικού, νομικού, αλλά και των βιομηχανιών ναυτιλίας και των μεταφορών, καθώς και τις εθνικές, τοπικές, φυλετικές και θεσμικές αρχές (SLTT) στις ΗΠΑ, την Αυστραλία, το Ηνωμένο Βασίλειο και την Ιταλία.
Δείτε επίσης: Cuba ransomware: Χρήση Veeam exploit για επιθέσεις σε κρίσιμες υποδομές
Σύμφωνα με την Adlumin, οι επιθέσεις εκμεταλλεύονται το λογισμικό “Απομακρυσμένης Παρακολούθησης και Διαχείρισης (RMM)” που χρησιμοποιείται από τους πάροχους υπηρεσιών για να αποκτήσουν άμεση πρόσβαση στο περιβάλλον των πελατών, παρακάμπτοντας την πλειοψηφία των αμυντικών μηχανισμών. Με αυτόν τον τρόπο, παρέχουν στους εισβολείς ελεύθερη πρόσβαση με προνομιούχο χαρακτήρα στα δίκτυα.
Η επαναλαμβανόμενη κατάχρηση νόμιμου λογισμικού RMM από απειλητικούς παράγοντες οδήγησε την κυβέρνηση των Ηνωμένων Πολιτειών να κυκλοφορήσει ένα Σχέδιο Κυβερνοάμυνας για την αντιμετώπιση απειλών στο οικοσύστημα RMM.
Πηγή πληροφοριών: thehackernews.com