Microsoft, BlackCat fidye yazılımının Impacket ağ çerçevesini ve Remcom bilgisayar korsanlığı aracını içine alan ve her ikisi de ihlal edilmiş bir ağda yanal olarak yayılmaya olanak tanıyan yeni bir sürümünü keşfetti.
Nisan ayında, siber güvenlik araştırmacısı VX-Yeraltı tweetlendi Sphynx adlı yeni bir BlackCat/ALPHV şifreleyici sürümü hakkında.
BlackCat operatörleri bağlı kuruluşlarına gönderdikleri bir mesajda, “ALPHV/BlackCat 2.0: Sphynx temel özelliklerinin testinin tamamlandığını size bildirmekten memnuniyet duyuyoruz” dedi.
Fidye yazılımı operasyonları, “Şifreleme de dahil olmak üzere kod tamamen sıfırdan yeniden yazıldı. Varsayılan olarak tüm dosyalar donduruldu. Bu güncellemenin ana önceliği, AV/EDR tarafından algılamayı optimize etmekti.”
Kısa bir süre sonra, IBM Security X-Force, yeni BlackCat şifreleyiciyi derinlemesine inceleyerek, şifreleyicinin bir araç setine dönüştüğü konusunda uyarıda bulundu.
Bu, yürütülebilir dosyada, uzaktan çalıştırma ve işlemlerden sır dökümü gibi istismar sonrası işlevler için kullanılan imppacket içerdiğini belirten dizelere dayanıyordu.
Kaynak: IBM
BlackCat Sphynx şifreleyici
Bugün bir dizi gönderide, Microsoft’un Tehdit İstihbaratı ekibi, yeni Sphynx sürümünü de analiz ettiklerini ve güvenliği ihlal edilmiş ağlarda yatay olarak yayılmak için Impacket çerçevesini kullandığını bulduğunu söylüyor.
“Microsoft, son kampanyalarda kullanılan BlackCat fidye yazılımının yeni bir sürümünü gözlemledi.” yayınlanan Microsoft.
“Bu sürüm, tehdit aktörlerinin hedef ortamlarda yanal hareketi kolaylaştırmak için kullandıkları açık kaynaklı iletişim çerçevesi aracı Impacket’i içerir.”
Impacket, ağ protokolleriyle çalışmak için Python sınıflarının açık kaynaklı bir koleksiyonu olarak tanımlanır.
Bununla birlikte, bir ağ üzerinde yanal olarak yayılmak, işlemlerden kimlik bilgilerini boşaltmak, NTLM aktarma saldırıları gerçekleştirmek ve çok daha fazlasını yapmak için sızma testi uzmanları, kırmızı ekip çalışanları ve tehdit aktörleri tarafından daha yaygın olarak bir sömürü sonrası araç seti olarak kullanılır.
Impacket, bir ağdaki bir cihazı ihlal eden ve ardından yükseltilmiş kimlik bilgileri elde etmek ve diğer cihazlara erişim elde etmek için çerçeveyi kullanan tehdit aktörleri arasında çok popüler hale geldi.
Microsoft’a göre, BlackCat operasyonu, şifreleyiciyi tüm ağda dağıtmak için kimlik bilgisi kopyalama ve uzaktan hizmet yürütme için Impacket çerçevesini kullanıyor.
Microsoft, Impacket’e ek olarak, şifreleyicinin, şifreleyicinin bir ağdaki diğer cihazlarda komutları uzaktan yürütmesine izin veren küçük bir uzak kabuk olan Remcom hackleme aracını yerleştirdiğini söylüyor.
Microsoft, BleepingComputer tarafından görülen özel bir Microsoft 365 Defender Tehdit Analizi danışma belgesinde, Temmuz 2023’ten beri BlackCat bağlı kuruluşu ‘Storm-0875’ tarafından kullanılan bu yeni şifreliyi gördüklerini söylüyor.
Microsoft, bu yeni sürümü BlackCat 3.0 olarak tanımlıyor, ancak daha önce de söylediğimiz gibi fidye yazılımı, bağlı kuruluşlarla iletişimde onu ‘Sphynx’ veya ‘BlackCat/ALPHV 2.0’ olarak adlandırıyor.
Sürekli gelişen bir fidye yazılımı çetesi
ALPHV olarak da bilinen BlackCat, operasyonunu Kasım 2021’de başlattı ve Colonial Pipeline saldırısından sorumlu olan DarkSide/BlackMatter çetesinin yeniden markası olduğuna inanılıyor.
Fidye yazılımı çetesi her zaman en gelişmiş ve en üst düzey fidye yazılımı operasyonlarından biri olarak kabul edildi ve operasyonunu sürekli olarak yeni taktiklerle geliştirdi.
Örneğin, geçen yaz yeni bir gasp taktiği olarak, fidye yazılımı çetesi belirli bir kurbanın verilerini sızdırmaya adanmış bir clearweb web sitesi oluşturdu, böylece müşteriler ve çalışanlar verilerinin açığa çıkıp çıkmadığını kontrol edebilirler.
Daha yakın zamanlarda, tehdit aktörleri, çalınan verilerin daha kolay yayılmasına izin veren bir veri sızıntısı API’si oluşturdu.
Bir şifre çözücüden tam teşekküllü bir sömürü sonrası araç setine dönüşen BlackCat şifreleyici ile, fidye yazılımı bağlı kuruluşlarının ağ genelinde dosya şifrelemeyi daha hızlı bir şekilde dağıtmasına olanak tanır.
Fidye yazılımı saldırılarını meydana gelir gelmez tespit etmek çok önemli olduğundan, bu araçları eklemek savunucuların işini yalnızca zorlaştırır.