Perşembe günü Microsoft, yeni bir sürüm bulduğunu açıkladı. Kara kedi yanal hareketi ve uzaktan kod yürütmeyi kolaylaştırmak için Impacket ve RemCom gibi araçları yerleştiren fidye yazılımı (diğer adıyla ALPHV ve Noberus).
Şirketin tehdit istihbarat ekibi, “Impacket aracı, BlackCat fidye yazılımının hedef ortamlarda geniş çapta konuşlandırılması için kullanılabilecek kimlik bilgileri dökümü ve uzaktan hizmet yürütme modüllerine sahiptir” dedi. söz konusu X (eski adıyla Twitter) üzerindeki bir dizi gönderide.
“Bu BlackCat sürümü ayrıca, uzaktan kod yürütme için yürütülebilir dosyaya gömülü RemCom hacktool’a sahiptir. Dosya ayrıca, aktörlerin yanal hareket ve daha fazla fidye yazılımı dağıtımı için kullandıkları sabit kodlanmış, tehlikeye atılmış hedef kimlik bilgilerini içerir.”
PsExec’e açık kaynaklı bir alternatif olarak faturalandırılan RemCom, geçmişte kurban ortamlarında hareket etmek için Dalbit ve Chafer (aka Remix Kitten) gibi Çinli ve İranlı ulus-devlet tehdit aktörleri tarafından kullanılmaya başlandı.
Redmond, Temmuz 2023’te bir BlackCat üyesi tarafından gerçekleştirilen saldırılarda yeni varyantı gözlemlemeye başladığını söyledi.
gelişme gelir IBM Security X-Force’un, ilk olarak Şubat 2023’te iyileştirilmiş şifreleme hızı ve gizlilikle ortaya çıkan Sphynx adlı güncellenmiş BlackCat sürümünün ayrıntılarını ifşa etmesinden iki ay sonra, tehdit aktörlerinin fidye yazılımını iyileştirmek ve yeniden donatmak için devam eden çabalarına işaret ediyor.
IBM Security X-Force, Mayıs 2023’ün sonlarında “BlackCat fidye yazılımı örneği, yalnızca fidye yazılımı işlevinden daha fazlasını içerir, ancak bir ‘araç seti’ olarak işlev görebilir.”
Faaliyetlerini Kasım 2021’de başlatan siber suç grubu, saldırılarının görünürlüğünü artırmak için en son bir veri sızıntısı API’si yayınlayarak sürekli bir evrim geçirdi. Rapid7’nin 2023 için Yıl Ortası Tehdit İncelemesine göre, BlackCat, toplam 1.500 fidye yazılımı saldırısından 212’sine atfedildi.
Sadece BlackCat değil, çünkü Küba (namı diğer COLDRAW) fidye yazılımı tehdit grubunun da özel bir indirici olan BUGHATCH’ı kapsayan kapsamlı bir saldırı araç seti kullandığı gözlemlendi; Kötü amaçlı yazılımdan koruma katili BURNTCIGAR; Bir ana bilgisayar numaralandırma aracı olan Wedgecut; metasploit; ve Cobalt Strike çerçeveleri.
Özellikle BURNTCIGAR, muhtemelen analizi engelleme girişiminde sona erdirmek için hedeflenen süreçlerin karma kodlanmış bir listesini dahil etmek için başlık altı modifikasyonlar içerir.
Grup tarafından Haziran 2023’ün başlarında düzenlenen saldırılardan birinin, Veeam Backup & Replication yazılımında daha önce istismar edilen yüksek önem dereceli bir kusur olan CVE-2020-1472 (Zerologon) ve CVE-2023-27532’yi silah haline getirdiği söyleniyor. FIN7 çetesi, ilk erişim için.
Kanadalı siber güvenlik şirketi BlackBerry, grubun “Veeam güvenlik açığı CVE-2023-27532 için bir istismarın gözlemlenen ilk kullanımı” olduğunu söyledi.
“Küba fidye yazılımı operatörleri, ağ altyapısını geri dönüştürmeye ve kampanyadan kampanyaya ustaca değiştirdikleri bir çekirdek TTP setini kullanmaya devam ediyor ve genellikle fırsat ortaya çıktığında araç setlerini yükseltmek için hazır bileşenleri benimsiyor.”
Fidye yazılımları, mali açıdan motive olan tehdit aktörleri için önemli bir para döndürücü olmaya devam ediyor ve kolluk kuvvetlerinin onları alt etmeye yönelik yoğun çabalarına rağmen 2023’ün ilk yarısında 2022’nin tamamına kıyasla hem karmaşıklık hem de miktar olarak büyüyor.
Bazı gruplar ayrıca şifrelemeden tamamen veri hırsızlığına ve fidyeye veya alternatif olarak, kurbanın çalışanlarına veya müşterilerine şantaj yapmak için veri şifreleme ve hırsızlığın ötesine geçen ve daha fazla baskı oluşturmak için DDoS saldırıları gerçekleştiren üçlü gasp yöntemine başvurmaya başladılar.
Bir diğer dikkate değer taktik, yönetilen hizmet sağlayıcıların (MSP’ler), finans, yazılım, hukuk, nakliye ve lojistik sektörlerinin yanı sıra eyalet, yerel, ABD, Avustralya, Birleşik Krallık ve İtalya’daki kabile ve bölgesel (SLTT) varlıklar.
Adlumin, saldırıların “hizmet sağlayıcılar tarafından bir müşterinin ortamına doğrudan erişim elde etmek için kullandığı ve savunmalarının çoğunu atlayarak kullandığı Uzaktan İzleme ve Yönetim (RMM) yazılımını” kullandığını belirterek, tehdit aktörlerine ağlara sınırsız, ayrıcalıklı erişim sağlıyor.
Meşru RMM yazılımının tehdit aktörleri tarafından tekrar tekrar kötüye kullanılması, ABD hükümetinin RMM ekosistemine yönelik tehditleri azaltmak için bir Siber Savunma Planı yayınlamasına yol açtı.
“Siber tehdit aktörleri, RMM yazılımı aracılığıyla yönetilen hizmet sağlayıcılara (MSP’ler) yer edinebilir veya güvenlik hizmeti sağlayıcıları (MSSP’ler) sunucularını yönetebilir ve buna bağlı olarak, MSP/MSSP müşterileri olan küçük ve orta ölçekli kuruluşlar için ardışık etkilere neden olabilir. ” ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) uyardı.