Perşembe günü Microsoft, yeni bir sürüm bulduğunu açıkladı. Kara kedi yanal hareketi ve uzaktan kod yürütmeyi kolaylaştırmak için Impacket ve RemCom gibi araçları yerleştiren fidye yazılımı (diğer adıyla ALPHV ve Noberus).
” darbe aracı BlackCat fidye yazılımının hedef ortamlarda geniş çapta konuşlandırılması için kullanılabilecek kimlik bilgileri dökümü ve uzaktan hizmet yürütme modüllerine sahip”, “şirketin tehdit istihbarat ekibi söz konusu X (eski adıyla Twitter) üzerindeki bir dizi gönderide.
“Bu BlackCat sürümü ayrıca RemCom hack aracı uzaktan kod yürütme için yürütülebilir dosyaya gömülü. Dosya ayrıca, aktörlerin yanal hareket ve daha fazla fidye yazılımı dağıtımı için kullandıkları, kodlanmış, güvenliği ihlal edilmiş hedef kimlik bilgilerini de içerir.”
PsExec’e açık kaynaklı bir alternatif olarak faturalandırılan RemCom, Çin ve İran ulus-devlet tehdit aktörleri tarafından kullanılmaya başlandı. Dalbit Ve reşo (aka Remix Kitten) geçmişteki kurban ortamlarında hareket etmek için.
Redmond, Temmuz 2023’te bir BlackCat üyesi tarafından gerçekleştirilen saldırılarda yeni varyantı gözlemlemeye başladığını söyledi.
gelişme gelir IBM Security X-Force’un, ilk olarak Şubat 2023’te iyileştirilmiş şifreleme hızı ve gizlilikle ortaya çıkan Sphynx adlı güncellenmiş BlackCat sürümünün ayrıntılarını ifşa etmesinden iki ay sonra, tehdit aktörlerinin fidye yazılımını iyileştirmek ve yeniden donatmak için devam eden çabalarına işaret ediyor.
IBM Security X-Force, Mayıs 2023’ün sonlarında “BlackCat fidye yazılımı örneği, yalnızca fidye yazılımı işlevinden daha fazlasını içerir, ancak bir ‘araç seti’ olarak işlev görebilir.”
Kasım 2021’de faaliyetlerine başlayan siber suç grubu, en son bir veri sızıntısı API’sı saldırılarının görünürlüğünü artırmak için. Rapid7’ye göre Yıl Ortası Tehdit İncelemesi 2023 için BlackCat, toplam 1.500 fidye yazılımı saldırısından 212’sine atfedildi.
Sadece BlackCat değil, çünkü Küba (namı diğer COLDRAW) fidye yazılımı tehdit grubunun da özel bir indirici olan BUGHATCH’ı kapsayan kapsamlı bir saldırı araç seti kullandığı gözlemlendi; Kötü amaçlı yazılımdan koruma katili BURNTCIGAR; Bir ana bilgisayar numaralandırma aracı olan Wedgecut; metasploit; ve Cobalt Strike çerçeveleri.
Özellikle BURNTCIGAR, muhtemelen analizi engelleme girişiminde sona erdirmek için hedeflenen süreçlerin karma kodlanmış bir listesini dahil etmek için başlık altı modifikasyonlar içerir.
Grup tarafından Haziran 2023’ün başlarında düzenlenen saldırılardan birinin, Veeam Backup & Replication yazılımında daha önce istismar edilen yüksek önem dereceli bir kusur olan CVE-2020-1472 (Zerologon) ve CVE-2023-27532’yi silah haline getirdiği söyleniyor. FIN7 çetesi, ilk erişim için.
Kanadalı siber güvenlik şirketi BlackBerry söz konusu grubun “Veeam güvenlik açığı CVE-2023-27532 için bir açıktan yararlanmanın ilk gözlemlenen kullanımına” işaret ediyor.
“Küba fidye yazılımı operatörleri, ağ altyapısını geri dönüştürmeye ve kampanyadan kampanyaya ustaca değiştirdikleri bir çekirdek TTP setini kullanmaya devam ediyor ve genellikle fırsat ortaya çıktığında araç setlerini yükseltmek için hazır bileşenleri benimsiyor.”
Fidye yazılımı, finansal olarak motive olmuş tehdit aktörleri2023’ün ilk yarısında hem karmaşıklık hem de miktar olarak 2022’nin tamamından daha fazla büyüyen, kolluk kuvvetlerinin onları devirmeye yönelik yoğun çabalarına rağmen.
Bazı gruplar ayrıca şifrelemeden tamamen veri hırsızlığına ve fidyeye veya alternatif olarak, kurbanın çalışanlarına veya müşterilerine şantaj yapmak için veri şifreleme ve hırsızlığın ötesine geçen ve daha fazla baskı oluşturmak için DDoS saldırıları gerçekleştiren üçlü gasp yöntemine başvurmaya başladılar.
Zscaler, “Şifreleme sürecini atlayan Şifrelemesiz Gasp saldırılarının artan popülaritesi, ödeme yapmazlarsa kurbanların verilerini çevrimiçi olarak sızdırmakla tehdit etme taktiğini kullanıyor.” söz konusu 2023 Fidye Yazılımı Raporunda. “Bu taktik, yazılım geliştirme döngülerini ve şifre çözme desteğini ortadan kaldırarak fidye yazılımı çeteleri için daha hızlı ve daha büyük karlar sağlıyor.”
“Ayrıca, bu saldırıların tespit edilmesi daha zordur ve yetkililerden daha az ilgi görürler, çünkü bunlar önemli dosyaları ve sistemleri kilitlemezler veya kurtarmayla ilgili kesinti süresine neden olmazlar. Bu nedenle, Şifrelemesiz Gasp saldırıları kurbanlarının iş operasyonlarını kesintiye uğratmaz – bu da daha sonra ortaya çıkar. daha düşük raporlama oranlarında.”
Fidye yazılımı aktörleri arasında ikinci bir büyüme eğilimi, aralıklı şifreleme süreci hızlandırmak için her dosyanın yalnızca bölümlerini şifrelemek ve “fidye yazılımını belirlemek için buluşsal yöntemlerindeki bir işlem tarafından diske yazılan içerik miktarını kullanan” güvenlik çözümleriyle tespitten kaçınmak.
Bir diğer dikkate değer taktik, yönetilen hizmet sağlayıcıların (MSP’ler), finans, yazılım, hukuk, nakliye ve lojistik sektörlerinin yanı sıra eyalet, yerel, ABD, Avustralya, Birleşik Krallık ve İtalya’daki kabile ve bölgesel (SLTT) varlıklar.
bu saldırılar Kaldıraç Adlumin, “Servis sağlayıcılar tarafından bir müşterinin ortamına doğrudan erişim elde etmek ve savunmalarının çoğunu atlamak için kullanılan Uzaktan İzleme ve Yönetim (RMM) yazılımı” dedi. söz konusutehdit aktörlerine ağlara sınırsız, ayrıcalıklı erişim sağlar.
Meşru RMM yazılımının tehdit aktörleri tarafından tekrar tekrar kötüye kullanılması, ABD hükümetinin RMM ekosistemine yönelik tehditleri azaltmak için bir Siber Savunma Planı yayınlamasına yol açtı.
“Siber tehdit aktörleri, RMM yazılımı aracılığıyla yönetilen hizmet sağlayıcılara (MSP’ler) yer edinebilir veya güvenlik hizmeti sağlayıcıları (MSSP’ler) sunucularını yönetebilir ve buna bağlı olarak, MSP/MSSP müşterileri olan küçük ve orta ölçekli kuruluşlar için ardışık etkilere neden olabilir. ” ABD Siber Güvenlik ve Altyapı Güvenliği Teşkilatı (CISA) uyardı.
