Los investigadores de ciberseguridad han descubierto más vínculos entre las familias de ransomware BlackCat (también conocido como AlphaV) y BlackMatter, la primera de las cuales surgió como reemplazo tras el escrutinio internacional el año pasado.
«Al menos algunos miembros del nuevo grupo BlackCat tienen enlaces al grupo BlackMatter, porque modificaron y reutilizaron una herramienta de exfiltración personalizada. […] y que solo se ha observado en la actividad de BlackMatter», los investigadores de Kaspersky dicho en un nuevo análisis.
La herramienta, denominada Fendr, no solo se actualizó para incluir más tipos de archivos, sino que también la pandilla la utilizó ampliamente para robar datos de redes corporativas en diciembre de 2021 y enero de 2022 antes del cifrado, en una táctica popular llamada doble extorsión.
Los hallazgos llegan menos de un mes después de que los investigadores de Cisco Talos identificaran superposiciones en las tácticas, técnicas y procedimientos (TTP) entre BlackCat y BlackMatter, describiendo la nueva variante de ransomware como un caso de «expansión comercial vertical».
BlackCat se destaca por dos razones: es un actor afiliado que implementó BlackMatter en el pasado y su malware está escrito en Rust, lo que indica cómo los actores de amenazas están cambiando cada vez más a los lenguajes de programación con capacidades de compilación cruzada.
El grupo «proporciona infraestructura, muestras de malware, negociaciones de rescate y, probablemente, retiros en efectivo», señalaron los investigadores. «Cualquiera que ya tenga acceso a entornos comprometidos puede usar las muestras de BlackCat para infectar un objetivo».
Una vez ejecutado, el malware obtiene el sistema de Windows MachineGuid del registro, una clave única generada durante la instalación del sistema operativo, así como su UUID, antes de pasar por alto el Control de cuentas de usuario (UAC), elimine las copias de seguridad ocultas e inicie el proceso de cifrado.
«Este uso de un Fendr modificado, también conocido como ExMatter, representa un nuevo punto de datos que conecta a BlackCat con la actividad pasada de BlackMatter», dijeron los investigadores.
«La modificación de esta herramienta reutilizada demuestra un régimen de planificación y desarrollo más sofisticado para adaptar los requisitos a los entornos objetivo, característico de una empresa criminal madura».