BlackCat fidye yazılımı ekibi, radarın altında uçmak ve erişimlerini genişletmek için kötü amaçlı yazılım cephanelerinde ince ayar yaparken tespit edildi.
Symantec’ten araştırmacılar, “Daha dikkate değer gelişmelerden bazıları arasında, Exmatter veri hırsızlığı aracının yeni bir sürümünün kullanılması ve Veeam yedekleme yazılımı tarafından depolanan kimlik bilgilerini çalmak için tasarlanmış bilgi çalan kötü amaçlı yazılım olan Eamfo’nun kullanılması yer alıyor” dedi. yeni bir raporda.
ALPHV ve Noberus adlarıyla da bilinen BlackCat, Coreid (diğer adıyla FIN7, Carbanak veya Carbon Spider) olarak izlenen bir düşmana atfediliyor ve DarkSide ve BlackMatter’ın yeniden markalı halefi olduğu söyleniyor. Colonial Pipeline’ınki de dahil olmak üzere bir dizi yüksek profilli saldırı.
Tehdit aktörünün, diğer kötü şöhretli fidye yazılımı grupları gibi, bir hizmet olarak fidye yazılımı (RaaS) operasyonu yürüttüğü biliniyor. gelir.
ALPHV ayrıca, son aylarda Hive ve Luna gibi diğer aileler tarafından platformlar arası kötü amaçlı yazılım geliştirmek ve dağıtmak için benimsenen bir eğilim olan Rust’ta programlanan ilk fidye yazılımı türlerinden biridir.
Grubun taktikleri, araçları ve prosedürlerinin (TTP’ler) evrimi, siber suç çetesinin fidye yazılımı dağıtmak için bir kanal olarak yama uygulanmamış Microsoft Exchange sunucularını kullandığı keşfedildikten üç aydan fazla bir süre sonra geldi.
Araç setinde yapılan sonraki güncellemeler, kötü amaçlı yazılımın güvenlik korumalarını atlamak için güvenliği ihlal edilmiş Windows makinelerini güvenli modda yeniden başlatmasını sağlayan yeni şifreleme işlevleri içeriyor.
Araştırmacılar, “Temmuz 2022 güncellemesinde ekip, çalınan verilerin endekslenmesini ekledi – yani veri sızıntısı web sitelerinde anahtar kelime, dosya türü ve daha fazlasıyla aranabilir” dedi.
En son iyileştirmeler, BlackCat tarafından fidye yazılımı saldırılarında kullanılan bir veri hırsızlığı aracı olan Exmatter ile ilgilidir. Yenilenen sürüm, yalnızca belirli bir uzantı grubuna sahip dosyaları toplamanın yanı sıra, işlenmiş tüm dosyaların bir raporunu oluşturur ve hatta dosyaları bozar.
Saldırıda ayrıca, Veeam yedekleme yazılımında depolanan kimlik bilgilerini sifonlamak ve ayrıcalık yükseltme ve yanal hareketi kolaylaştırmak için tasarlanmış, Eamfo adlı bilgi çalan bir kötü amaçlı yazılım da yer alıyor.
Bulgular, fidye yazılımı gruplarının mümkün olduğunca uzun süre etkili kalmak için operasyonlarını sürekli olarak uyarlama ve iyileştirme konusunda usta olduğunun bir başka göstergesi.
Araştırmacılar, “Sürekli gelişimi, grubun veri hırsızlığı ve gaspına odaklandığını ve bu saldırı unsurunun fidye yazılımı aktörleri için öneminin altını çiziyor” dedi.
BlackCat’in yakın zamanda Emotet kötü amaçlı yazılımını ilk bulaşma vektörü olarak kullandığı gözlemlendi, ayrıca şu anda dağılmış durumdaki Conti fidye yazılımı grubunun bu yıl tehdit ortamından çekilmesinin ardından yeni üye akışına tanık olduğundan bahsetmiyorum bile.
Conti’nin gün batımına, Conti ekibinin TTP’lerini ve araçlarını kasıtlı olarak ve yüzsüzce taklit eden bir “doppelganger” grubu olan Monti adlı yeni bir fidye yazılımı ailesinin ortaya çıkması eşlik etti.
BlackCat’in saldırılarına yenilenmiş bir araç listesi eklediğine dair haberler, iddiaya göre LockBit 3.0 (aka LockBit Black) dosya şifreleyen kötü amaçlı yazılımla ilişkili bir geliştirici olarak geldi. inşaatçıyı sızdırdı ısmarlama sürümler oluşturmak için kullanılır ve diğer daha az yetenekli aktörler tarafından daha yaygın suistimallere yol açabileceğine dair endişelere yol açar.
Sadece LockBit değil. Geçtiğimiz iki yıl içinde, Babuk ve Conti fidye yazılımı grupları, giriş engelini etkili bir şekilde azaltan ve kötü niyetli aktörlerin hızla kendi saldırılarını başlatmasını sağlayan benzer ihlallerden zarar gördü.