Những kẻ tấn công ransomware BlackCat đã phát hiện tinh chỉnh kho chứa phần mềm độc hại của họ

BlackCat Ransomware

Nhóm ransomware BlackCat đã được phát hiện tinh chỉnh kho vũ khí phần mềm độc hại của họ để bay dưới radar và mở rộng phạm vi tiếp cận của họ.

Các nhà nghiên cứu từ Symantec cho biết: “Trong số một số phát triển đáng chú ý hơn là việc sử dụng phiên bản mới của công cụ lọc dữ liệu Exmatter và sử dụng Eamfo, phần mềm độc hại đánh cắp thông tin được thiết kế để lấy cắp thông tin đăng nhập được lưu trữ bởi phần mềm sao lưu Veeam” trong một báo cáo mới.

BlackCat, còn được biết đến với tên ALPHV và Noberus, được cho là do một kẻ thù được theo dõi là Coreid (hay còn gọi là FIN7, Carbanak hoặc Carbon Spider) và được cho là người kế thừa thương hiệu của DarkSide và BlackMatter, cả hai đều đóng cửa vào năm ngoái sau đó một chuỗi các cuộc tấn công nổi tiếng, bao gồm cả Colonial Pipeline.

Tác nhân đe dọa, giống như các nhóm ransomware khét tiếng khác, được biết là điều hành một hoạt động ransomware dưới dạng dịch vụ (RaaS), liên quan đến các nhà phát triển cốt lõi của nó tranh thủ sự giúp đỡ của các chi nhánh để thực hiện các cuộc tấn công để đổi lấy một phần bất hợp pháp tiền thu được.

ALPHV cũng là một trong những dòng ransomware đầu tiên được lập trình trong Rust, một xu hướng đã được các gia đình khác như Hive và Luna áp dụng trong những tháng gần đây để phát triển và phân phối phần mềm độc hại đa nền tảng.

Xem tiếp:   Microsoft phát hành bản sửa lỗi cho Zero-Day mới với bản cập nhật bản vá thứ ba tháng 5 năm 2022

Sự phát triển của các chiến thuật, công cụ và thủ tục (TTP) của nhóm diễn ra hơn ba tháng sau khi băng nhóm tội phạm mạng bị phát hiện khai thác các máy chủ Exchange chưa được vá như một đường dẫn để triển khai ransomware.

Các bản cập nhật tiếp theo cho bộ công cụ của nó đã kết hợp các chức năng mới cho phép phần mềm độc hại khởi động lại các máy bị xâm nhập ở chế độ an toàn để vượt qua các biện pháp bảo mật.

Các nhà nghiên cứu cho biết: “Trong bản cập nhật tháng 7 năm 2022, nhóm đã bổ sung lập chỉ mục dữ liệu bị đánh cắp – có nghĩa là các trang web rò rỉ dữ liệu của họ có thể được tìm kiếm theo từ khóa, loại tệp và hơn thế nữa,” các nhà nghiên cứu cho biết.

Các cải tiến mới nhất liên quan đến Exmatter, một công cụ lọc dữ liệu được BlackCat sử dụng trong các cuộc tấn công ransomware. Bên cạnh việc thu thập các tệp chỉ với một tập hợp các phần mở rộng cụ thể, phiên bản cải tiến tạo ra một báo cáo về tất cả các tệp đã xử lý và thậm chí làm hỏng các tệp.

Cũng được triển khai trong cuộc tấn công là một phần mềm độc hại đánh cắp thông tin có tên là Eamfo, được thiết kế để lấy thông tin đăng nhập được lưu trữ trong phần mềm sao lưu Veeam và tạo điều kiện cho việc leo thang đặc quyền và di chuyển theo chiều ngang.

Xem tiếp:   Hơn 200 ứng dụng trên Cửa hàng Play Bị bắt theo dõi người dùng Android bằng Facestealer

Các phát hiện này là một dấu hiệu khác cho thấy các nhóm ransomware rất thành thạo trong việc liên tục điều chỉnh và tinh chỉnh hoạt động của chúng để duy trì hiệu quả lâu nhất có thể.

Các nhà nghiên cứu cho biết: “Sự phát triển liên tục của nó cũng nhấn mạnh sự tập trung của nhóm vào việc đánh cắp dữ liệu và tống tiền, cũng như tầm quan trọng của yếu tố tấn công này đối với các tác nhân ransomware hiện nay”.

BlackCat gần đây cũng đã được quan sát thấy sử dụng phần mềm độc hại Emotet như một vector lây nhiễm ban đầu, chưa kể đến việc chứng kiến ​​một loạt thành viên mới từ nhóm ransomware Conti hiện đã không còn tồn tại sau khi nhóm này rút khỏi bối cảnh mối đe dọa trong năm nay.

Sự sụp đổ của Conti cũng đi kèm với sự xuất hiện của một gia đình ransomware mới có tên là Monti, một nhóm “doppelganger” đã được phát hiện có mục đích và trơ trẽn mạo danh các TTP của nhóm Conti và các công cụ của nó.

Tin tức về việc BlackCat thêm một loạt công cụ được tân trang lại để tấn công các cuộc tấn công của nó đến khi một nhà phát triển liên kết với phần mềm độc hại mã hóa tệp LockBit 3.0 (hay còn gọi là LockBit Black) bị cáo buộc đã bị rò rỉ mà người xây dựng đã sử dụng để tạo các phiên bản riêng biệt, gây ra lo ngại rằng nó có thể dẫn đến lạm dụng rộng rãi hơn bởi các diễn viên khác kém kỹ năng hơn.

Xem tiếp:   Tin tặc Iran tận dụng BitLocker và DiskCryptor trong các cuộc tấn công bằng Ransomware

Nó không chỉ là LockBit. Trong hai năm qua, các nhóm ransomware Babuk và Conti đã bị các vụ vi phạm tương tự, làm giảm hiệu quả rào cản xâm nhập và tạo điều kiện cho các phần tử độc hại nhanh chóng thực hiện các cuộc tấn công của riêng họ.

.

Related Posts

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / Tấn công mạng Hơn một …