Η ομάδα ransomware BlackCat έχει αναβαθμίσει την τεχνική της

Η ομάδα ransomware BlackCat (που αναφέρεται και ως ALPHV) έχει αναδειχθεί τους τελευταίους 18 μήνες, και μια νέα έρευνα αποκαλύπτει πώς η αναμόρφωση της τεχνικής της νωρίτερα μέσα στην χρονιά την έχει καταστήσει ακόμη πιο ισχυρή απειλή.

Δείτε επίσης: Το νέο zero-day MOVEit Transfer αξιοποιείται μαζικά σε επιθέσεις κλοπής δεδομένων

«Η BlackCat έχει γίνει γνωστή ως μια εξαιρετικά τρομερή και καινοτόμος λειτουργία ransomware από το ντεμπούτο της τον Νοέμβριο του 2021», ανέφεραν ερευνητές από την IBM Security X-Force σε μια ανάλυση της ομάδας και του εξελισσόμενου κακόβουλου λογισμικού της που δημοσιεύτηκε την Τρίτη.

«Η BlackCat περιλαμβάνεται σταθερά στις δέκα πιο ενεργές ομάδες ransomware από πολλές ερευνητικές οντότητες και συνδέθηκε σε ένα advisory του FBI τον Απρίλιο του 2022 με το πλέον ανενεργό ransomware BlackMatter/DarkSide».

Η ομάδα με έδρα τη Ρωσία και οι affiliates της έχουν επιχειρήσει εκβιασμούς σε όλο τον κόσμο και σε πολλούς κλάδους, ασκώντας ενίοτε πίεση στα θύματα με τη δημοσίευση ευαίσθητων κλεμμένων δεδομένων, συμπεριλαμβανομένων οικονομικών και ιατρικών πληροφοριών.

Τον Μάρτιο, δημοσιεύτηκαν φωτογραφίες γυμνόστηθων ασθενών με καρκίνο του μαστού στο Lehigh Valley Health Network, αφού ο οργανισμός αρνήθηκε να πληρώσει λύτρα ύψους 1,5 εκατομμυρίου δολαρίων μετά από επίθεση που δέχτηκε τον Φεβρουάριο.

Έκτοτε, στα θύματα της BlackCat περιλαμβάνονται η Western Digital, η Sun Pharmaceuticals και η Constellation Software.

«Ομάδες ransomware, όπως η BlackCat, που είναι σε θέση να αλλάξουν τα εργαλεία και τα εμπορικά τους εργαλεία για να κάνουν τις δραστηριότητές τους πιο γρήγορες και πιο κρυφές, έχουν περισσότερες πιθανότητες να παρατείνουν τη διάρκεια ζωής τους», ανέφερε στην ανάρτησή της η IBM Security X-Force.

Το SC Media ανέφερε τον Μάιο μια διαπίστωση της Trend Micro ότι η BlackCat χρησιμοποιούσε έναν νέο kernel driver που αξιοποιούσε ένα ξεχωριστό user client executable για τον έλεγχο, την παύση και τον τερματισμό διαφόρων διεργασιών στα endpoints-στόχους των παραγόντων ασφαλείας που αναπτύσσονται σε προστατευόμενους υπολογιστές.

Δείτε επίσης: Κυκλοφόρησε exploit για RCE flaw στη δημοφιλή βιβλιοθήκη ReportLab PDF

Αυτό φαίνεται να είναι ένα από τα χαρακτηριστικά μιας νέας έκδοσης του ransomware της, την οποία ονομάζει Sphynx, και την οποία η ομάδα προώθησε τον Φεβρουάριο. Η VX-Underground δημοσίευσε screenshot μιας ανακοίνωσης στο Twitter, στην οποία η BlackCat ανέφερε ότι το ransomware της έχει “ξαναγραφτεί εντελώς από την αρχή” και ότι “η κύρια προτεραιότητά τους με αυτή την ενημέρωση ήταν να βελτιστοποιήσουν την ανίχνευση από το AV/EDR (anti-virus/endpoint detection and response).

Το 2022, η BlackCat μεταπήδησε στη γλώσσα προγραμματισμού Rust, πιθανότατα επειδή προσέφερε περισσότερες πιθανότητες να προσαρμόσει το κακόβουλο λογισμικό και να εμποδίσει τις προσπάθειες εντοπισμού και ανάλυσής του. Επιπλέον, οι affiliates της ομάδας συνέχισαν να εκμεταλλεύονται τη λειτουργικότητα των Group Policy Objects (GPOs), τόσο για την ανάπτυξη εργαλείων όσο και για την παρεμπόδιση των μέτρων ασφαλείας, σύμφωνα με τους ερευνητές.

Δείτε επίσης: Οι IT pros έχουν υπερβολική αυτοπεποίθηση για την ικανότητά τους να εντοπίζουν επιθέσεις malware

Οι επιθέσεις της BlackCat περιλάμβαναν γενικά την ανάπτυξη εργαλείων τόσο για την κρυπτογράφηση όσο και για την κλοπή δεδομένων, καθώς η ομάδα συνήθως χρησιμοποιούσε ένα διπλό σύστημα εκβιασμού.

Σύμφωνα με τα πιο εξελιγμένα εργαλεία που αναπτύσσουν άλλες ομάδες ransomware, η X-Force δήλωσε ότι αναμένει ότι η BlackCat θα συνεχίσει να αυξάνει την ταχύτητα και τη μυστικότητα των επιχειρήσεών της, χρησιμοποιώντας “νέα μέσα για να ολοκληρώσει τα διάφορα στάδια των επιθέσεών της”.

Πηγή πληροφοριών: scmagazine.com