BlackCat fidye yazılımı ekibi, radarın altında uçmak ve erişimlerini genişletmek için kötü amaçlı yazılım cephanelerinde ince ayar yaparken tespit edildi.
Symantec’ten araştırmacılar, “Daha dikkate değer gelişmelerden bazıları arasında, Exmatter veri sızdırma aracının yeni bir sürümünün kullanılması ve Veeam yedekleme yazılımı tarafından depolanan kimlik bilgilerini çalmak için tasarlanmış bilgi çalan kötü amaçlı yazılım olan Eamfo’nun kullanılması yer alıyor” dedi. söz konusu yeni bir raporda.
ALPHV ve Noberus adlarıyla da bilinen BlackCat, Coreid (aka FIN7, Carbanak veya Carbon Spider) olarak izlenen bir düşmana atfediliyor ve bir düşman olduğu söyleniyor. markalı halef DarkSide ve BlackMatter, her ikisi de Colonial Pipeline’ınki de dahil olmak üzere bir dizi yüksek profilli saldırının ardından geçen yıl mağazalarını kapattı.
Tehdit aktörünün, diğer kötü şöhretli fidye yazılımı grupları gibi, bir hizmet olarak fidye yazılımı (RaaS) operasyonu yürüttüğü biliniyor. gelir.
ALPHV ayrıca, son aylarda Hive ve Luna gibi diğer aileler tarafından platformlar arası kötü amaçlı yazılım geliştirmek ve dağıtmak için benimsenen bir eğilim olan Rust’ta programlanan ilk fidye yazılımı türlerinden biridir.
Grubun taktikleri, araçları ve prosedürlerinin (TTP’ler) evrimi, siber suç çetesinin fidye yazılımı dağıtmak için bir kanal olarak yama uygulanmamış Microsoft Exchange sunucularını kullandığı keşfedildikten üç aydan fazla bir süre sonra geldi.
Araç setinde yapılan sonraki güncellemeler, kötü amaçlı yazılımın güvenlik korumalarını atlamak için güvenliği ihlal edilmiş Windows makinelerini güvenli modda yeniden başlatmasını sağlayan yeni şifreleme işlevleri içeriyor.
Araştırmacılar, “Temmuz 2022 güncellemesinde ekip, çalınan verilerin endekslenmesini ekledi – yani veri sızıntısı web sitelerinde anahtar kelime, dosya türü ve daha fazlasıyla aranabilir” dedi.
En son iyileştirmeler, BlackCat tarafından fidye yazılımı saldırılarında kullanılan bir veri hırsızlığı aracı olan Exmatter ile ilgilidir. Yenilenen sürüm, yalnızca belirli bir uzantı grubuna sahip dosyaları toplamanın yanı sıra, işlenmiş tüm dosyaların bir raporunu oluşturur ve hatta dosyaları bozar.
Saldırıda ayrıca, Veeam yedekleme yazılımında depolanan kimlik bilgilerini sifonlamak ve ayrıcalık yükseltme ve yanal hareketi kolaylaştırmak için tasarlanmış, Eamfo adlı bilgi çalan bir kötü amaçlı yazılım da yer alıyor.
Bulgular, fidye yazılımı gruplarının mümkün olduğunca uzun süre etkili kalmak için operasyonlarını sürekli olarak uyarlama ve iyileştirme konusunda usta olduğunun bir başka göstergesi.
Araştırmacılar, “Sürekli gelişimi, grubun veri hırsızlığı ve gaspına odaklandığını ve bu saldırı unsurunun fidye yazılımı aktörleri için öneminin altını çiziyor” dedi.
BlackCat’in yakın zamanda Emotet kötü amaçlı yazılımını ilk bulaşma vektörü olarak kullandığı gözlemlendi, ayrıca şu anda dağılmış durumdaki Conti fidye yazılımı grubunun bu yıl tehdit ortamından çekilmesinin ardından yeni üye akışına tanık olduğundan bahsetmiyorum bile.
Conti’nin gün batımına, yeni bir fidye yazılımı ailesinin ortaya çıkması da eşlik etti. MontiConti ekibinin TTP’lerini ve araçlarını kasıtlı olarak ve yüzsüzce taklit eden bir “doppelganger” grubu.
BlackCat’in saldırılarına yenilenmiş bir araç listesi eklediğine dair haberler, iddiaya göre LockBit 3.0 (aka LockBit Black) dosya şifreleyen kötü amaçlı yazılımla ilişkili bir geliştirici olarak geldi. inşaatçıyı sızdırdı ısmarlama sürümler oluşturmak için kullanılır ve diğer daha az yetenekli aktörler tarafından daha yaygın suistimallere yol açabileceğine dair endişelere yol açar.
Sadece LockBit değil. Geçtiğimiz iki yıl içinde, Babuk ve Conti fidye yazılımı grupları, giriş engelini etkili bir şekilde azaltan ve kötü niyetli aktörlerin hızla kendi saldırılarını başlatmasını sağlayan benzer ihlallerden zarar gördü.