Các nhà nghiên cứu an ninh mạng đã phát hiện ra các mối liên hệ khác giữa BlackCat (hay còn gọi là AlphaV) và BlackMatter ransomware, họ trước đây đã nổi lên như một sự thay thế sau sự giám sát quốc tế vào năm ngoái.
“Ít nhất một số thành viên của nhóm BlackCat mới có liên kết đến nhóm BlackMatter, vì họ đã sửa đổi và sử dụng lại một công cụ lọc tùy chỉnh […] và chỉ được quan sát thấy trong hoạt động BlackMatter, “các nhà nghiên cứu của Kaspersky cho biết trong một phân tích mới.
Công cụ có tên là Fendr, không chỉ được nâng cấp để bao gồm nhiều loại tệp hơn mà còn được băng nhóm này sử dụng rộng rãi để lấy cắp dữ liệu từ các mạng công ty vào tháng 12 năm 2021 và tháng 1 năm 2022 trước khi mã hóa, trong một chiến thuật phổ biến được gọi là tống tiền kép.
Các phát hiện được đưa ra chưa đầy một tháng sau khi các nhà nghiên cứu của Cisco Talos xác định sự trùng lặp về chiến thuật, kỹ thuật và quy trình (TTP) giữa BlackCat và BlackMatter, mô tả biến thể ransomware mới là một trường hợp “mở rộng kinh doanh theo chiều dọc.”
BlackCat nổi bật vì hai lý do: đó là một tác nhân liên kết đã triển khai BlackMatter trong quá khứ và phần mềm độc hại của nó được viết bằng Rust, cho thấy các tác nhân đe dọa đang ngày càng chuyển sang các ngôn ngữ lập trình có khả năng biên dịch chéo.
Nhóm “cung cấp cơ sở hạ tầng, mẫu phần mềm độc hại, đàm phán tiền chuộc và có thể là tiền mặt”, các nhà nghiên cứu lưu ý. “Bất kỳ ai đã có quyền truy cập vào các môi trường bị xâm phạm đều có thể sử dụng các mẫu của BlackCat để lây nhiễm mục tiêu.”
Sau khi được thực thi, phần mềm độc hại sẽ lấy MachineGuid của hệ thống Windows từ sổ đăng ký – một khóa duy nhất được tạo trong quá trình cài đặt hệ điều hành – cũng như UUID của nó, trước khi tiếp tục bỏ qua Kiểm soát Tài khoản Người dùng (UAC), xóa các bản sao lưu ẩn và bắt đầu quá trình mã hóa.
Các nhà nghiên cứu cho biết: “Việc sử dụng Fendr đã sửa đổi, còn được gọi là ExMatter, đại diện cho một điểm dữ liệu mới kết nối BlackCat với hoạt động BlackMatter trong quá khứ”.
“Việc sửa đổi công cụ tái sử dụng này cho thấy một chế độ lập kế hoạch và phát triển phức tạp hơn để điều chỉnh các yêu cầu với môi trường mục tiêu, đặc trưng của một doanh nghiệp tội phạm đang trưởng thành.”
.
