Microsoft afslørede for nylig en ny iteration af BlackCat ransomware, som inkorporerer Impacket-netværksrammen og Remcom-hackingværktøjet.
Disse nye tilføjelser til BlackCat, giver malwaren mulighed for at sprede sig sidevejs inden for et kompromitteret netværk.
Tidligere i år fremhævede VX-Underground, en cybersikkerhedsforsker, en frisk version af BlackCat/ALPHV-kryptatoren ved navn Sphynx. BlackCat-operatørerne fortalte deres datterselskaber, "Vi er glade for at kunne informere dig om, at test af grundlæggende funktioner ALPHV/BlackCat 2.0: Sphynx er afsluttet." De fortsatte med at forklare, at koden, inklusive kryptering, var blevet fuldstændig omarbejdet, med det primære fokus på at optimere detektion af AV/EDR-systemer.
IBM Security X-Force gennemførte en omfattende undersøgelse af den opdaterede BlackCat-kryptering og understregede dens udvikling til et omfattende værktøjssæt. Denne konklusion blev draget fra analyse af strenge i den eksekverbare, hvilket indikerer tilstedeværelsen af Impacket, der anvendes til post-udnyttelsesfunktioner som fjernudførelse og udtrækning af hemmeligheder fra processer.
Microsofts Threat Intelligence-team dykkede også ned i Sphynx-versionen og bekræftede dens brug af Impacket-rammen til lateral bevægelse inden for kompromitterede netværk. Ifølge Microsoft udnytter BlackCat-operationen Impacket til legitimationsmanipulation og fjernudførelse af tjenester til at implementere krypteringsværktøjet på tværs af et helt netværk.
Derudover afslørede Microsoft, at krypteringsværktøjet inkorporerer Remcom hacking-værktøjet, en kompakt ekstern shell, der gør det muligt for kryptering at udføre kommandoer på andre enheder i et netværk. Microsofts 365 Defender Threat Analytics-rådgivning afslørede brugen af denne nye kryptering af BlackCat-tilknyttede 'Storm-0875' siden juli 2023.
Selvom Microsoft udpeger denne version som BlackCat 3.0, refererer ransomware-handlingen til den som 'Sphynx' eller 'BlackCat/ALPHV 2.0' i kommunikation med tilknyttede selskaber.
BlackCat, også kendt som ALPHV, indledte sine operationer i november 2021 og menes at være en rebranding af DarkSide/BlackMatter-banden, der er berygtet for Colonial Pipeline-angrebet. Denne ransomware-gruppe har konsekvent demonstreret avancerede muligheder og fortsætter med at forfine sin taktik.
For eksempel introducerede banden sidste sommer et clearweb-websted dedikeret til at lække ofredata, så kunder og medarbejdere kan tjekke, om deres data var kompromitteret. For nylig udviklede de et datalæk API, der forenklede spredningen af stjålne data.
Transformationen af BlackCat-kryptering til et omfattende post-udnyttelsesværktøjssæt gør det muligt for ransomware-tilknyttede selskaber hurtigt at kryptere filer på tværs af netværket. I betragtning af det haster med at opdage ransomware-angreb omgående, udgør disse tilføjelser en endnu større udfordring for forsvarere.