Microsoft, Blackcat fidye yazılımının, Impacket Networking çerçevesini ve Remcom Hacking aracını yerleştiren yeni bir sürümünü keşfetti ve her ikisi de ihlal edilen bir ağa yanal olarak yayılmayı sağladı.
Nisan ayında, Siber Güvenlik Araştırmacısı VX-Underground, Sphynx adlı yeni bir Blackcat/ALPHV şifreleme sürümü hakkında tweet attı.
Blackcat operatörleri, bağlı kuruluşlarına bir mesajla, "Temel özelliklerin test edilmesinin ALPHV/Blackcat 2.0: Sfinx'in tamamlandığını bildirmekten memnuniyet duyuyoruz." Dedi.
Fidye yazılımı işlemlerini, "Şifreleme de dahil olmak üzere kod tamamen sıfırdan yeniden yazılmıştır. Varsayılan olarak tüm dosyalar dondurulmuştur. Bu güncellemenin ana önceliği AV/EDR tarafından algılanmayı optimize etmekti."
Kısa bir süre sonra, IBM Security X-Force, yeni Blackcat şifrelemesine derin bir dalış yaptı ve şifrelemenin bir araç setine dönüştüğünü söyledi.
Bu, yürütülebilir dosyadaki, uzaktan yürütme ve süreçlerden gelen sırlar döküm gibi sömürü sonrası işlevler için kullanılan bir itme içerdiğini gösteren iplere dayanıyordu.
Bugün bir dizi yayında, Microsoft'un tehdit istihbarat ekibi yeni Sphynx versiyonunu da analiz ettiklerini ve emme çerçevesini uzlaşmış ağlara yanal olarak yaymak için kullandığını buldu.
Microsoft, "Microsoft, Blackcat fidye yazılımının son kampanyalarda kullanıldığı yeni bir sürümünü gözlemledi."
"Bu sürüm, aktörlerin hedef ortamlarda yanal hareketi kolaylaştırmak için kullandıkları açık kaynaklı iletişim çerçeve aracı impacketini içeriyor."
İptal, ağ protokolleriyle çalışmak için Python sınıflarının açık kaynaklı bir koleksiyonu olarak tanımlanır.
Bununla birlikte, daha yaygın olarak, penetrasyon testçileri, kırmızı ekipler ve tehdit aktörleri tarafından bir ağa yanal olarak yayılmaları, süreçlerden kimlik bilgilerini dökmek, NTLM röle saldırıları gerçekleştirmek ve çok daha fazlasını yapmak için daha yaygın olarak kullanılır.
Impacket, bir ağdaki bir cihazı ihlal eden ve daha sonra yüksek kimlik bilgileri elde etmek ve diğer cihazlara erişmek için çerçeveyi kullanan tehdit aktörleri arasında çok popüler hale geldi.
Microsoft'a göre, Blackcat işlemi, şifreleyiciyi tüm ağa dağıtmak için kimlik bilgisi duping ve uzaktan servis yürütme için Impacket Framework'ü kullanıyor.
İmpacka ek olarak Microsoft, şifrelemenin, şifrelemenin bir ağdaki diğer cihazlarda uzaktan komutları yürütmesine izin veren küçük bir uzak kabuk olan Remcom Hacking aracını yerleştirdiğini söylüyor.
BleepingComputer tarafından görülen özel bir Microsoft 365 Defender Tehdit Analytics danışmanında Microsoft, Blackcat Affiliate 'Storm-0875' tarafından Temmuz 2023'ten bu yana kullanılan bu yeni şifreli gördüklerini söyledi.
Microsoft, bu yeni sürümü Blackcat 3.0 olarak tanımlıyor, ancak daha önce söylediğimiz gibi, fidye yazılımı işlemi bağlı kuruluşlarla iletişimde 'sfinx' veya 'blackcat/alphv 2.0' diyor.
Blackcat, aka Alphv, operasyonunu Kasım 2021'de başlattı ve sömürge boru hattına yapılan saldırıdan sorumlu olan Darkside/Blackmatter çetesinin yeniden markası olduğuna inanılıyor.
Fidye yazılımı çetesi her zaman en gelişmiş ve üst düzey fidye yazılımı işlemlerinden biri olarak kabul edildi ve sürekli yeni taktiklerle operasyonunu geliştirdi.
Örneğin, geçen yaz yeni bir gasp taktiği olarak, fidye yazılımı çetesi belirli bir kurban için sızdırmaya adanmış bir ClearWeb web sitesi oluşturdu, böylece müşteriler ve çalışanlar verilerinin maruz kalıp kalmadığını kontrol edebilirler.
Daha yakın zamanlarda, tehdit aktörleri, çalınan verilerin daha kolay yayılmasını sağlayan bir veri sızıntısı API'sı oluşturdu.
Blackcat şifreleyicisi, bir şifreden oluşan bir sisat sonrası araç setine kadar gelişen, fidye yazılımı bağlı kuruluşlarının ağ boyunca dosya şifrelemesini daha hızlı dağıtmasına izin verir.
Fidye yazılımı saldırılarını meydana gelir elde etmez tespit etmek hayati önem taşıdığından, bu araçları eklemek sadece savunucular için zorlaşır.
Fidye Yazılımında Hafta - 18 Ağustos 2023 - İnce Buz Üzerinde Kilit Bitti
Ransomware'de Hafta - 28 Temmuz 2023 - Yeni Fasar Taktikleri
Alphv Ransomware, yeni gasp stratejisine veri sızıntı API'sını ekler
Estée Lauder güzellik devi iki fidye yazılımı çetesi tarafından ihlal edildi
Ransomware'de Hafta - 21 Temmuz 2023 - Avaddon Noescape olarak geri döndü
Kaynak: Bleeping Computer