Resim: Midjourney
Blackcat (ALPHV) fidye yazılımı çetesi artık çalınan Microsoft hesaplarını ve yakın zamanda benekli Sphynx şifrelemesini hedeflerin Azure bulut depolamasını şifrelemek için kullanıyor.
Son zamanlarda yapılan bir ihlali araştırırken, Sophos X-OPS olay müdahaleleri, saldırganların özel kimlik bilgilerini kullanmak için daha fazla destek ve yeni bir Sfinx varyantı kullandığını keşfetti.
Sophos Central hesabına çalınan bir kerelik şifre (OTP) kullanarak eriştikten sonra, kurcalama korumasını devre dışı bıraktılar ve güvenlik politikalarını değiştirdiler. Bu eylemler, LastPass Chrome uzantısını kullanarak kurbanın LastPass kasasından OTP'yi çaldıktan sonra mümkün oldu.
Daha sonra, Sophos Müşteri sistemlerini ve uzaktan Azure Cloud depolama alanını şifrelediler ve .ZK09CVT uzantısını tüm kilitli dosyalara eklediler. Toplamda, fidye yazılımı operatörleri 39 Azure depolama hesaplarını başarılı bir şekilde şifreleyebilir.
Hedeflenen depolama hesaplarına erişim sağlayan çalıntı bir Azure anahtarı kullanarak kurbanın Azure portalına sızdılar. Saldırıda kullanılan anahtarlar, Base64 kullanılarak kodlandıktan sonra fidye yazılımı ikili içine enjekte edildi.
Saldırganlar ayrıca saldırı boyunca Anydesk, Splashtop ve Atera gibi birden fazla uzaktan izleme ve yönetim (RMM) aracı kullandılar.
Sophos, Mayıs ayında yayınlanan bir IBM-Xforce raporunda açıklanan başka bir saldırı ile benzerlikleri paylaşan bir veri ihlali ile ilgili bir soruşturma sırasında SPHYNX varyantını keşfetti (exmatter aracı, her iki durumda da çalınan verileri çıkarmak için kullanıldı).
Microsoft ayrıca geçen ay yeni Sphynx şifrelemesinin Remcom Hacking aracını ve uzlaşmış ağlar arasında yanal hareket için Impacket Networking çerçevesini yerleştirdiğini buldu.
Kasım 2021'de ortaya çıkan bir fidye yazılımı operasyonu olarak Blackcat/ALPHV'nin bir Darkside/Blackmatter yeniden markası olduğundan şüpheleniliyor.
Başlangıçta Darkside olarak bilinen bu grup, sömürge boru hattını ihlal ettikten sonra küresel ilgi topladı ve uluslararası kolluk kuvvetlerinden derhal inceleme yaptı.
Temmuz 2021'de Blackmatter olarak yeniden markalaşmalarına rağmen, yetkililerin sunucularını ele geçirdikleri ve Emsisoft'un fidye yazılımlarında bir güvenlik açığından yararlanan bir şifre çözme aracı geliştirdikleri Kasım ayında operasyonlar aniden durduruldu.
Bu çete sürekli olarak işletmeleri küresel ölçekte hedefleyen, taktiklerini sürekli olarak uyarlayan ve geliştiren en sofistike ve yüksek profilli fidye yazılımı kıyafetlerinden biri olarak kabul edilmektedir.
Örneğin, geçen yaz yeni bir gasp yaklaşımında, fidye yazılımı çetesi, belirli bir kurbanın çalınan verilerini sızdırmak için özel bir net web web sitesi kullandı ve kurbanın müşterilerine ve çalışanlarına verilerinin maruz kalıp kalmadığını belirleme araçları sağladı.
Daha yakın zamanlarda Blackcat, Temmuz ayında çalınan verilerin yayılmasını kolaylaştırmak için tasarlanmış bir veri sızıntısı API'sını tanıttı.
Bu hafta, çetenin bağlı kuruluşlarından biri (dağınık örümcek olarak izlendi), şirketin iç altyapısını düşürdükten ve fidye ödemesini müzakere etmeyi reddettikten sonra 100'den fazla ESXI hipervizörünü şifrelediklerini söyleyerek MGM Resorts'a yapılan saldırıyı iddia etti.
Geçen Nisan ayında FBI, grubun Kasım 2021 ile Mart 2022 arasında dünya çapında 60'tan fazla varlığın başarılı ihlallerinin arkasında olduğunu vurgulayan bir uyarı yayınladı.
Microsoft: Blackcat'ın Sfinx Ransomware Emmeds Impacket, Remcom
MGM Casino'nun ESXI sunucularının fidye yazılımı saldırısında şifrelendiği iddia ediliyor
Japon saatçi Seiko Blackcat Ransomware Gang tarafından ihlal edildi
Ransomware'de Hafta - 28 Temmuz 2023 - Yeni Fasar Taktikleri
Alphv Ransomware, yeni gasp stratejisine veri sızıntı API'sını ekler
Kaynak: Bleeping Computer