L’équipe du rançongiciel BlackCat a été aperçue en train de peaufiner son arsenal de logiciels malveillants pour voler sous le radar et étendre sa portée.
« Parmi certains des développements les plus notables, citons l’utilisation d’une nouvelle version de l’outil d’exfiltration de données Exmatter et l’utilisation d’Eamfo, un malware voleur d’informations conçu pour voler les informations d’identification stockées par le logiciel de sauvegarde Veeam », ont déclaré des chercheurs de Symantec. a dit dans un nouveau rapport.
BlackCat, également connu sous les noms ALPHV et Noberus, est attribué à un adversaire suivi sous le nom de Coreid (alias FIN7, Carbanak ou Carbon Spider) et serait un successeur renommé de DarkSide et BlackMatter, qui ont tous deux fermé leurs portes l’année dernière à la suite d’une série d’attaques très médiatisées, dont celle de Colonial Pipeline.
L’acteur de la menace, comme d’autres groupes de rançongiciels notoires, est connu pour exécuter une opération de rançongiciel en tant que service (RaaS), qui implique que ses principaux développeurs demandent l’aide d’affiliés pour mener les attaques en échange d’une réduction du trafic illicite. procède.
ALPHV est également l’une des premières souches de rançongiciels à être programmées dans Rust, une tendance qui a depuis été adoptée par d’autres familles telles que Hive et Luna ces derniers mois pour développer et distribuer des logiciels malveillants multiplateformes.
L’évolution des tactiques, outils et procédures (TTP) du groupe intervient plus de trois mois après la découverte du gang de cybercriminels exploitant des serveurs Microsoft Exchange non corrigés comme conduit pour déployer des rançongiciels.
Les mises à jour ultérieures de son ensemble d’outils ont intégré de nouvelles fonctionnalités de chiffrement qui permettent au logiciel malveillant de redémarrer les machines Windows compromises en mode sans échec pour contourner les protections de sécurité.
« Dans une mise à jour de juillet 2022, l’équipe a ajouté l’indexation des données volées, ce qui signifie que ses sites Web de fuites de données peuvent être recherchés par mot-clé, type de fichier, etc. », ont déclaré les chercheurs.
Les derniers raffinements concernent Exmatter, un outil d’exfiltration de données utilisé par BlackCat dans ses attaques de ransomware. Outre la récolte de fichiers uniquement avec un ensemble spécifique d’extensions, la version remaniée génère un rapport de tous les fichiers traités et corrompt même les fichiers.
Un malware voleur d’informations appelé Eamfo est également déployé dans l’attaque. Il est conçu pour siphonner les informations d’identification stockées dans le logiciel de sauvegarde Veeam et faciliter l’escalade des privilèges et les mouvements latéraux.
Les résultats sont une autre indication que les groupes de rançongiciels sont capables d’adapter et d’affiner continuellement leurs opérations pour rester efficaces aussi longtemps que possible.
« Son développement continu souligne également l’accent mis par le groupe sur le vol de données et l’extorsion, et l’importance de cet élément d’attaques pour les acteurs du ransomware maintenant », ont déclaré les chercheurs.
BlackCat a également été récemment observé en train d’utiliser le malware Emotet comme vecteur d’infection initial, sans parler de l’afflux de nouveaux membres du groupe de rançongiciels Conti, aujourd’hui disparu, suite au retrait de ce dernier du paysage des menaces cette année.
L’extinction de Conti s’est également accompagnée de l’émergence d’une nouvelle famille de rançongiciels baptisée Montiun groupe « doppelganger » qui se fait passer délibérément et effrontément pour les TTP et les outils de l’équipe Conti.
La nouvelle de BlackCat ajoutant une liste d’outils remaniée à ses attaques arrive en tant que développeur associé au logiciel malveillant de cryptage de fichiers LockBit 3.0 (alias LockBit Black) fuite du constructeur utilisé pour créer des versions sur mesure, ce qui fait craindre que cela ne conduise à des abus plus répandus par d’autres acteurs moins qualifiés.
Ce n’est pas seulement LockBit. Au cours des deux dernières années, les groupes de rançongiciels Babuk et Conti ont subi des violations similaires, abaissant efficacement la barrière à l’entrée et permettant aux acteurs malveillants de lancer rapidement leurs propres attaques.
