Yeni araştırmalar, bir dizi son saldırının ardından, kötü şöhretli BlackCat fidye yazılımının çok daha kötü hale gelmek üzere olabileceğini iddia etti.
Sophos’tan bir rapor, fidye yazılımının arkasındaki tehdit aktörlerinin artık Brute Ratel aracını cephanelerine eklediğini ve aracı çok daha tehlikeli hale getirdiğini söyledi.
Brute Ratel, örneğin Cobalt Strike’a benzer ancak daha az bilinen bir penetrasyon testi ve saldırı simülasyon aracıdır.
Eski sistemleri hedefleme
“Son zamanlarda BlackCat ve diğer saldırılarda gördüğümüz şey, tehdit aktörlerinin işlerinde çok verimli ve etkili olmaları. Savunmasız güvenlik duvarlarına ve VPN’lere saldırmak gibi denenmiş ve gerçek yöntemler kullanıyorlar çünkü bunların hala işe yaradığını biliyorlar. Ancak saldırılarında daha yeni sömürü sonrası C2 çerçevesi Brute Ratel’e geçmek gibi güvenlik savunmalarından kaçınmak için yenilik gösteriyorlar.” söz konusu (yeni sekmede açılır) Christopher Budd, üst düzey yönetici, tehdit araştırması, Sophos.
Brute Ratel kullanılan tek araç değil, çünkü önceki olayları analiz ederken, BlackCat’in TeamViewer veya nGrok gibi ek arka kapılar ve diğer uzaktan erişim alternatifleri oluşturmak için diğer açık kaynaklı ve ticari olarak mevcut araçları kullandığı gözlemlendi. Açıkçası, Kobalt Strike da kullanıldı.
Genellikle, BlackCat operatörleri eski güvenlik duvarlarını arardı. (yeni sekmede açılır) ve ilk giriş noktaları olarak yama uygulanmamış VPN hizmetleri. Aralık 2021’den bu yana güvenlik duvarlarındaki güvenlik açıklarından yararlanarak en az dört kuruluşa başarıyla sızmayı başardılar.
Ağ erişimi elde ettiklerinde, kimlik bilgilerini çıkarmak için güvenlik duvarlarını kullanacaklar ve sistem boyunca yanlamasına serbestçe hareket edecekler.
BlackCat, ABD, Avrupa ve Asya’daki işletmeleri hedef alan tehditle, herhangi bir kurbandan yana görünmüyor.
Bir saldırı için tek ön koşul, işletmenin ömrünün sonuna ulaşmış, çok faktörlü kimlik doğrulaması veya VPN’leri olmayan ve düz ağları (her uç noktanın ağdaki diğer tüm uç noktaları görebildiği) sistemlerde çalışmasıdır. ).
“Bütün bu saldırıların ortak özelliği, gerçekleştirmelerinin kolay olmasıdır. Bir örnekte, aynı BlackCat saldırganları, fidye yazılımını başlatmadan bir ay önce kripto madencileri kurdu. Bu son araştırma, yerleşik en iyi güvenlik uygulamalarını izlemenin ne kadar önemli olduğunu vurgulamaktadır; tek bir ağa karşı birden fazla saldırı da dahil olmak üzere saldırıları önlemek ve engellemek için hala çok fazla güce sahipler. ”