top of page

Microsoft har opdaget ny BlackCat ransomware udgave der indeholder Impacket og RemCom Tools

Microsoft afslørede for nylig en ny iteration af BlackCat ransomware, som inkorporerer Impacket-netværksrammen og Remcom-hackingværktøjet.


Microsoft, Ransomware, Malware, Cyberangreb, BlackCat ransomware, Impacket, RemCom Tools, IT-sikkerhed

Disse nye tilføjelser til BlackCat, giver malwaren mulighed for at sprede sig sidevejs inden for et kompromitteret netværk.


Tidligere i år fremhævede VX-Underground, en cybersikkerhedsforsker, en frisk version af BlackCat/ALPHV-kryptatoren ved navn Sphynx. BlackCat-operatørerne fortalte deres datterselskaber, "Vi er glade for at kunne informere dig om, at test af grundlæggende funktioner ALPHV/BlackCat 2.0: Sphynx er afsluttet." De fortsatte med at forklare, at koden, inklusive kryptering, var blevet fuldstændig omarbejdet, med det primære fokus på at optimere detektion af AV/EDR-systemer.


IBM Security X-Force gennemførte en omfattende undersøgelse af den opdaterede BlackCat-kryptering og understregede dens udvikling til et omfattende værktøjssæt. Denne konklusion blev draget fra analyse af strenge i den eksekverbare, hvilket indikerer tilstedeværelsen af ​​Impacket, der anvendes til post-udnyttelsesfunktioner som fjernudførelse og udtrækning af hemmeligheder fra processer.


Microsofts Threat Intelligence-team dykkede også ned i Sphynx-versionen og bekræftede dens brug af Impacket-rammen til lateral bevægelse inden for kompromitterede netværk. Ifølge Microsoft udnytter BlackCat-operationen Impacket til legitimationsmanipulation og fjernudførelse af tjenester til at implementere krypteringsværktøjet på tværs af et helt netværk.

Derudover afslørede Microsoft, at krypteringsværktøjet inkorporerer Remcom hacking-værktøjet, en kompakt ekstern shell, der gør det muligt for kryptering at udføre kommandoer på andre enheder i et netværk. Microsofts 365 Defender Threat Analytics-rådgivning afslørede brugen af ​​denne nye kryptering af BlackCat-tilknyttede 'Storm-0875' siden juli 2023.


Selvom Microsoft udpeger denne version som BlackCat 3.0, refererer ransomware-handlingen til den som 'Sphynx' eller 'BlackCat/ALPHV 2.0' i kommunikation med tilknyttede selskaber.


BlackCat, også kendt som ALPHV, indledte sine operationer i november 2021 og menes at være en rebranding af DarkSide/BlackMatter-banden, der er berygtet for Colonial Pipeline-angrebet. Denne ransomware-gruppe har konsekvent demonstreret avancerede muligheder og fortsætter med at forfine sin taktik.


For eksempel introducerede banden sidste sommer et clearweb-websted dedikeret til at lække ofredata, så kunder og medarbejdere kan tjekke, om deres data var kompromitteret. For nylig udviklede de et datalæk API, der forenklede spredningen af ​​stjålne data.


Transformationen af ​​BlackCat-kryptering til et omfattende post-udnyttelsesværktøjssæt gør det muligt for ransomware-tilknyttede selskaber hurtigt at kryptere filer på tværs af netværket. I betragtning af det haster med at opdage ransomware-angreb omgående, udgør disse tilføjelser en endnu større udfordring for forsvarere.

Kommentare


bottom of page