BlackCat Ransomware varyantı Sphynx, Azure Depolama hesaplarını şifrelemek için kullanılan ek özelliklerle yeni tanımlandı. BlackCat’in bu Sphynx çeşidi ilk olarak Mart ayında keşfedildi ve Mayıs ayında yükseltilerek Exmatter sızıntı aracı eklendi.
Sphynx’in, ele geçirilen sistemlerden elde edilen yapılandırma dosyalarının içindeki kimlik bilgilerini geçersiz kılabilen yeni komut satırı argümanlarını içeren başka bir sürümü Ağustos ayında yayımlandı.
Microsoft, Ağustos ayında Impacket (kimlik bilgisi dökümü ve uzaktan hizmet yürütme için) ve Remcom araçlarının dahil edildiğinden bahseden bir gönderi yayınladı. Ayrıca, yanal hareket ve daha fazla fidye yazılımı dağıtımı için kullanılan, güvenliği ihlal edilmiş bazı kimlik bilgilerinden de oluşuyordu.
“Bu BlackCat sürümü aynı zamanda uzaktan kod yürütme için yürütülebilir dosyaya yerleştirilmiş Remcom hacktool’a da sahip. Dosya aynı zamanda aktörlerin yatay hareket ve daha fazla fidye yazılımı dağıtımı için kullandığı sabit kodlanmış, tehlikeye atılmış hedef kimlik bilgilerini de içeriyor.” okur Microsoft tarafından iş parçacığı Twitter’dan.
Tehdit Aktörleri Azure portalına erişiyor
Tehdit aktörleri, müşterinin Azure portalına erişerek Azure anahtarlarını çalabilir. Bu anahtarlar daha sonra base64 ile kodlandı ve komut satırı yürütmeleriyle fidye yazılımı ikili dosyasına yerleştirildi.
Komut satırı bağımsız değişkenlerine, bir Azure depolama hesabı adını ve erişim anahtarını hedefleyen bir -o bağımsız değişkeni eklendi; bu ikili dosya, 39 benzersiz Azure Depolama hesabıyla birden çok kez yürütüldü ve bu hesapların fidye yazılımıyla şifrelenmesine neden oldu.
Çeşitli saldırı türleri ve bunların nasıl önleneceği hakkında bilgi edinmek için Canlı DDoS Web Sitesi ve API Saldırı Simülasyonu web seminerine katılın.
Şimdi Katıl
Bu operasyon sırasında tehdit aktörleri, LastPass kasa tarayıcı uzantısına erişmek için Chrome tarayıcıyla birlikte AnyDesk, SplashTop ve Atera gibi araçları kullandı. Ayrıca tehdit aktörleri, diğer Sophos ürünlerini yönetmek amacıyla Sophos Central hesabına erişim için OTP elde etti.
Daha ayrıntılı incelemede, tehdit aktörlerinin sistemleri ve Azure Depolama hesaplarını .zk09cvt uzantılı IzBEIHCMxAuKmis6.exe ile şifrelemeden önce güvenlik politikalarını ve kurcalamaya karşı korumayı değiştirmeye devam ettikleri tespit edildi.
Önemli Değişiklik
IBM tarafından bahsedilen değişiklikleri ifade eden BlackCat’in bu Sphynx çeşidi, -access-token parametresini içermez ancak bunun yerine artık ‘-8UwUubTNYzygbQPJF -x_ -NI3_zn6Jr -U8Z -hedu5PO -CBJC7jzy -HFVmgW -DK3rdo’ gibi anahtarlar kullanır ve bir dizi anahtar içerir. daha karmaşık argümanlar.
Sophos, BlackCat’in bu versiyonunun işleyişi, kaynak kodu ve tehlike göstergeleri hakkında ayrıntılı bilgi sağlar.
Kuruluşların, fidye yazılımı saldırılarını etkili bir şekilde önlemek ve bunlarla mücadele etmek için gerekli önlem ve tedbirleri uygulaması ve bunlara uyması önemle tavsiye edilir. Bu tür proaktif ve dikkatli adımlar, bu kötü niyetli saldırılardan kaynaklanabilecek yıkıcı sonuçların riskini önemli ölçüde azaltabilir.
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.