BlackCat fidye yazılımı (aka ALPHV) herhangi bir yavaşlama belirtisi göstermiyor ve evriminin en son örneği, çetenin çifte gasp saldırıları için kullanılan veri sızdırma aracının yeni bir versiyonu.
BlackCat olarak kabul edilir varis Darkside ve BlackMatter’a ve en sofistike ve teknik olarak gelişmiş Hizmet olarak fidye yazılımı (RaaS) işlemleri.
Güvenlik araştırmacıları Symantec İlk Rust tabanlı fidye yazılımı türü olan BlackCat’in geliştiricisinin, kötü amaçlı yazılımı sürekli olarak iyileştirdiğini ve yeni özelliklerle zenginleştirdiğini bildirdi.
Son zamanlarda, çifte gasp saldırılarının gerçekleştirilmesi için temel bir gereklilik olan, güvenliği ihlal edilmiş sistemlerden veri sızdırmak için kullanılan araca odaklanıldığı görülüyor.
“Exmatter” adlı araç, BlackCat’in Kasım 2021’deki lansmanından bu yana kullanıldı ve Ağustos 2022’de yoğun bir şekilde güncellendi ve aşağıdaki değişiklikleri içeriyordu:
- Sızdırılacak dosya türlerini sınırlayın: PDF, DOC, DOCX, XLS, PNG, JPG, JPEG, TXT, BMP, RDP, SQL, MSG, PST, ZIP, RTF, IPT ve DWG.
- SFTP ve WebDav’a ek olarak FTP’yi bir sızma seçeneği olarak ekleyin.
- İşlenen tüm dosyaları listeleyen bir rapor oluşturma seçeneği sunun
- İşlenmiş dosyaları bozma seçeneği sunan “Silgi” özelliği ekleyin
- Geçerli olmayan ortamlarda yürütülürse, çıkmak ve kendini silmek için “Kendini imha et” yapılandırma seçeneğini ekleyin.
- Socks5 desteğini kaldırın
- GPO dağıtımı için seçenek ekle
Genişletilmiş yeteneklere ek olarak, en son Exmatter sürümü, algılamadan kaçınmak için mevcut özellikleri daha gizli bir şekilde uygulayan yoğun kod yeniden düzenleme işleminden geçmiştir.
BlackCat’in bilgi çalma kapasitesine yeni eklenen bir diğer özellik, Veeam yedeklerinde depolanan kimlik bilgilerini açıkça hedefleyen “Eamfo” adlı yeni bir kötü amaçlı yazılımın devreye alınmasıdır.
Bu yazılım genellikle kimlik bilgilerini etki alanı denetleyicilerine ve bulut hizmetlerine depolamak için kullanılır, böylece fidye yazılımı aktörleri bunları daha derine sızma ve yanal hareket için kullanabilir.
Eamfo, Veeam SQL veritabanına bağlanır ve aşağıdaki SQL sorgusu ile yedek kimlik bilgilerini çalar:
select [user_name],[password],https://www.bleepingcomputer.com/news/security/blackcat-ransomware-s-data-exfiltration-tool-gets-an-upgrade/ FROM [VeeamBackup].[dbo].[Credentials]
Kimlik bilgileri çıkarıldıktan sonra, Eamfo bunların şifresini çözer ve tehdit aktörüne gösterir.
Araştırmacılar, bilgi çalan kötü amaçlı yazılımın geçmişte diğer fidye yazılımı çeteleri tarafından kullanıldığını belirtiyor. MontiYanluowang ve LockBit.
Son olarak, Symantec, BlackCat işleminin antivirüs işlemlerini sonlandırmak için adlandırılan eski bir anti-rootkit yardımcı programı kullanılarak görüldüğünü fark etti.
zirvede kalmak
Haziran 2022’de BlackCat, ARM mimarilerindeki dosyaları şifrelemek için destek ve ağ ile veya ağ olmadan Windows güvenli modunda şifrelemek için bir mod sundu.
O sırada çete de bir özel çevrimiçi kaynak insanların, ihlal edilen firmalar üzerindeki baskıyı artırmak için çalınan verilerini arayabilecekleri bir yer.
BlackCat’in, RaaS operasyonunu daha etkili ve verimli hale getirmek için sürekli olarak yeni araçlar, iyileştirmeler ve gasp stratejileri ile geliştiği açıktır.
Symantec, BlackCat operatörlerinin, istedikleri kadar üretken olmayan bağlı kuruluşları ihraç ettiklerini ve daha düşük seviyeli RaaS programlarıyla işbirliği aradıklarını öne sürdüklerini bildiriyor.
Araştırmacılar da gördü BlackCat/ALPHV’ye taşınan eski Conti iştirakleri sonra Conti fidye yazılımı çetesi kapatıldı onların operasyonu.
Bu kapatma, yeni operasyon kapsamında hızla yeni saldırılar başlatabilen deneyimli saldırganların akınına yol açtı.