Шифровальщик BlackCat был замечен в совершенствовании своего вредоносного арсенала, чтобы оставаться незамеченной и расширить сферу своего влияния.
«Среди наиболее заметных разработок - использование новой версии инструмента извлечения данных Exmatter, а также использование Eamfo - вредоносной программы для кражи информации - которая предназначена для кражи учетных данных, хранящихся в программе резервного копирования Veeam» - сообщают исследователи из Symantec в новом отчете.
Шифровальщик BlackCat, также известный под именами ALPHV и Noberus, приписывается хакерской группировке, отслеживаемой как Coreid (она же FIN7, Carbanak и Carbon Spider), и, как утверждается, является преемником DarkSide и BlackMatter, которые прекратили существование в прошлом году после серии громких атак, включая атаку на Colonial Pipeline.
Как и другие известные группы разработчиков вирусов-вымогателей, эта угроза работает по принципу ransomware-as-a-service (RaaS), в рамках которого ее основные разработчики привлекают аффилированных лиц для осуществления атак в обмен на долю от криминальных доходов.
ALPHV также является одним из первых штаммов шифровальщиков, разработанных на языке Rust - тенденция, которую в последние месяцы переняли другие семейства, такие как Hive и Luna, в целях разработки и распространения кросс-платформенных вредоносных программ.
Эволюция тактики, инструментов и процедур группировки произошла более чем через три месяца после того, как было обнаружено, что киберпреступная группировка атаковала непропатченные серверы Microsoft Exchange в качестве канала для распространения программ-вымогателей.
В последующих обновлениях в инструментарий были добавлены новые функции шифрования, позволяющие вредоносному ПО перезагружать скомпрометированные машины Windows в безопасном режиме, чтобы обойти средства защиты.
«В обновлении от июля 2022 года команда добавила индексирование краденных данных - это означает, что веб-сайты утечек данных можно искать по ключевым словам, типу файлов и т.д.» - сообщают исследователи.
Последние усовершенствования касаются Exmatter, инструмента извлечения данных, используемого BlackCat в своих атаках. Помимо сбора файлов только с определенным набором расширений, обновленная версия генерирует отчет обо всех обработанных файлах и даже повреждает их.
Также в атаках участвует вредоносная программа Eamfo, предназначенная для перехвата учетных данных, хранящихся в программе резервного копирования Veeam, и облегчения повышения привилегий и латерального перемещения.
Полученные результаты являются еще одним свидетельством того, что группы разработчиков шифровальщиков постоянно адаптируют и совершенствуют свои операции, чтобы оставаться эффективными как можно дольше.
«Постоянное развитие инструментария также подчеркивает нацеленность группы на кражу данных и вымогательство, а также важность этого элемента атак для злоумышленников в настоящее время» - заявили исследователи.
Недавно было замечено, что BlackCat также использует вредоносную программу Emotet в качестве начального вектора заражения, не говоря уже о притоке новых членов из ныне несуществующей группы шифровальщиков Conti после того, как последняя ушла из сферы угроз в этом году.
Закат Conti также сопровождался появлением нового семейства вредоносов под названием Monti, «двойника» Conti, который был замечен в целенаправленном использовании тактик команды Conti и ее инструментов.
Новости о том, что BlackCat добавляет обновленный набор инструментов к своим атакам, появились после того, как разработчик, связанный с вредоносной программой для шифрования файлов LockBit 3.0 (она же LockBit Black), якобы слил в сеть сборку, используемую для создания специальных версий, что вызвало опасения, что это может привести к более широкому распространению атак со стороны других менее подкованных злоумышленников.
Речь идет не только о LockBit. За последние два года аналогичные нарушения произошли в группах Babuk и Conti, что фактически снизило барьер для входа и позволило злоумышленникам быстро начать проводить свои собственные атаки.
Источник: https://is-systems.org