Ngày 01 tháng 6 năm 2023Ravie Lakshmanan Bảo mật / mã hóa điểm cuối
Các tác nhân đe dọa đằng sau phần mềm tống tiền BlackCat đã đưa ra một biến thể cải tiến ưu tiên tốc độ và khả năng tàng hình trong nỗ lực vượt qua hàng rào bảo vệ và đạt được mục tiêu của chúng.
Phiên bản mới có tên nhân sư và được công bố vào tháng 2 năm 2023, tích hợp “một số khả năng được cập nhật nhằm củng cố nỗ lực của nhóm nhằm tránh bị phát hiện”, IBM Security X-Force cho biết trong một phân tích mới.
Bản cập nhật “sản phẩm” lần đầu tiên được vx-underground nêu bật vào tháng 4 năm 2023. Tháng trước, Trend Micro đã trình bày chi tiết về phiên bản Linux của Sphynx “tập trung chủ yếu vào quy trình mã hóa của nó”.
BlackCat, còn được gọi là ALPHV và Noberus, là chủng ransomware dựa trên ngôn ngữ Rust đầu tiên được phát hiện trong tự nhiên. Hoạt động từ tháng 11 năm 2021, nó đã nổi lên như một phần mềm tống tiền đáng gờm, trở thành nạn nhân của hơn 350 mục tiêu tính đến tháng 5 năm 2023.
Nhóm này, giống như các dịch vụ ransomware-as-a-service (RaaS) khác, được biết là vận hành kế hoạch tống tiền kép, triển khai các công cụ lọc dữ liệu tùy chỉnh như ExMatter để hút dữ liệu nhạy cảm trước khi mã hóa.
Quyền truy cập ban đầu vào các mạng được nhắm mục tiêu thường có được thông qua mạng gồm các tác nhân được gọi là nhà môi giới truy cập ban đầu (IAB), những người sử dụng phần mềm độc hại đánh cắp thông tin có sẵn để thu thập thông tin đăng nhập hợp pháp.
Theo Cisco Talos và Kaspersky, BlackCat cũng đã được quan sát thấy có sự trùng lặp với dòng ransomware BlackMatter hiện không còn tồn tại.
Những phát hiện mới nhất cung cấp một cửa sổ vào hệ sinh thái tội phạm mạng không ngừng phát triển, trong đó các tác nhân đe dọa tăng cường công cụ và kỹ thuật của chúng để tăng khả năng thỏa hiệp thành công, chưa kể đến việc phát hiện ngăn chặn và trốn tránh phân tích.
Cụ thể, phiên bản Sphynx của BlackCat kết hợp mã rác và chuỗi được mã hóa, đồng thời làm lại các đối số dòng lệnh được chuyển đến tệp nhị phân.
Sphynx cũng kết hợp một trình tải để giải mã tải trọng ransomware, khi thực thi, sẽ thực hiện các hoạt động khám phá mạng để tìm kiếm các hệ thống bổ sung, xóa các bản sao ẩn của ổ đĩa, mã hóa tệp và cuối cùng là xóa ghi chú đòi tiền chuộc.
HỘI THẢO TRỰC TUYẾN SẮP TỚI
🔐 Làm chủ bảo mật API: Hiểu bề mặt tấn công thực sự của bạn
Khám phá các lỗ hổng chưa được khai thác trong hệ sinh thái API của bạn và chủ động thực hiện các bước hướng tới bảo mật bọc thép. Tham gia hội thảo trên web sâu sắc của chúng tôi!
tham gia phiên
Bất chấp các chiến dịch thực thi pháp luật chống lại các nhóm tội phạm mạng và ransomware, sự thay đổi liên tục trong chiến thuật là bằng chứng cho thấy BlackCat vẫn là mối đe dọa tích cực đối với các tổ chức và “không có dấu hiệu giảm bớt”.
Nguồn: WithSecure
Công ty an ninh mạng Phần Lan WithSecure, trong một nghiên cứu gần đây, đã mô tả cách các khoản thu tài chính bất hợp pháp liên quan đến các cuộc tấn công bằng mã độc tống tiền đã dẫn đến “sự chuyên nghiệp hóa tội phạm mạng” và sự ra đời của các dịch vụ hỗ trợ ngầm mới.
Công ty cho biết: “Nhiều nhóm ransomware lớn đang vận hành một nhà cung cấp dịch vụ hoặc mô hình RaaS, nơi họ cung cấp công cụ và kiến thức chuyên môn cho các chi nhánh và đổi lại họ sẽ bị cắt giảm lợi nhuận”.
“Những lợi nhuận này đã thúc đẩy sự phát triển nhanh chóng của ngành dịch vụ, cung cấp tất cả các công cụ và dịch vụ mà một nhóm mối đe dọa sắp tới có thể cần, và nhờ có tiền điện tử và các dịch vụ định tuyến web đen, nhiều nhóm khác nhau có liên quan có thể mua và bán ẩn danh dịch vụ, và truy cập lợi nhuận của họ.”
