Siber güvenlik araştırmacıları, BlackCat (diğer adıyla AlphaV) ile BlackMatter fidye yazılımı aileleri arasında, geçen yıl uluslararası incelemelerin ardından bir yedek olarak ortaya çıkan BlackMatter fidye yazılımı aileleri arasında daha fazla bağlantı ortaya çıkardı.
“Yeni BlackCat grubunun en azından bazı üyelerinin BlackMatter grubuyla bağlantıları var, çünkü onlar özel bir sızma aracını değiştirip yeniden kullandılar. […] ve yalnızca BlackMatter etkinliğinde gözlemlenen” Kaspersky araştırmacıları dedim yeni bir analizde.
Fendr olarak adlandırılan araç, yalnızca daha fazla dosya türü içerecek şekilde yükseltilmekle kalmadı, aynı zamanda çete tarafından Aralık 2021 ve Ocak 2022’de şifrelemeden önce kurumsal ağlardan veri çalmak için çifte gasp adı verilen popüler bir taktikle yaygın olarak kullanıldı.
Bulgular, Cisco Talos araştırmacılarının BlackCat ve BlackMatter arasındaki taktikler, teknikler ve prosedürler (TTP’ler) arasındaki örtüşmeleri tespit etmesinden bir aydan kısa bir süre sonra geldi ve yeni fidye yazılımı varyantını bir “dikey iş genişlemesi” vakası olarak nitelendirdi.
BlackCat iki nedenden dolayı öne çıkıyor: Geçmişte BlackMatter’ı dağıtan bir bağlı kuruluş aktörü ve kötü amaçlı yazılımı Rust’ta yazılmış, tehdit aktörlerinin çapraz derleme yeteneklerine sahip programlama dillerine nasıl giderek daha fazla yöneldiğini gösteriyor.
Araştırmacılar, grubun “altyapı, kötü amaçlı yazılım örnekleri, fidye görüşmeleri ve muhtemelen nakit çıkışı sağladığını” belirtti. “Zaten güvenliği ihlal edilmiş ortamlara erişimi olan herkes, bir hedefe bulaşmak için BlackCat’in örneklerini kullanabilir.”
Bir kez yürütüldüğünde, kötü amaçlı yazılım Windows sisteminin Makine Kılavuzu kayıt defterinden – işletim sisteminin yüklenmesi sırasında oluşturulan benzersiz bir anahtar – ve Kullanıcı Hesabı Kontrolünü atlamaya geçmeden önce UUID’si (UAC), gölge yedekleri silin ve şifreleme işlemini başlatın.
Araştırmacılar, “ExMatter olarak da bilinen modifiye edilmiş bir Fendr’ın bu kullanımı, BlackCat’i geçmiş BlackMatter etkinliğine bağlayan yeni bir veri noktasını temsil ediyor” dedi.
“Bu yeniden kullanılan aracın modifikasyonu, olgunlaşmakta olan bir suç girişiminin karakteristiği olan hedef ortamlara gereksinimleri uyarlamak için daha karmaşık bir planlama ve geliştirme rejimi gösteriyor.”
