Les chercheurs en cybersécurité ont découvert d’autres liens entre les familles de rançongiciels BlackCat (alias AlphaV) et BlackMatter, dont le premier a émergé en remplacement après un examen international l’année dernière.
« Au moins certains membres du nouveau groupe BlackCat ont des liens vers le groupe BlackMatter, car ils ont modifié et réutilisé un outil d’exfiltration personnalisé […] et qui n’a été observé que dans l’activité de BlackMatter », ont déclaré les chercheurs de Kaspersky mentionné dans une nouvelle analyse.
L’outil, baptisé Fendr, a non seulement été mis à niveau pour inclure davantage de types de fichiers, mais a également été largement utilisé par le gang pour voler des données sur les réseaux d’entreprise en décembre 2021 et janvier 2022 avant le cryptage, dans une tactique populaire appelée double extorsion.
Les résultats surviennent moins d’un mois après que les chercheurs de Cisco Talos ont identifié des chevauchements dans les tactiques, techniques et procédures (TTP) entre BlackCat et BlackMatter, décrivant la nouvelle variante de ransomware comme un cas d' »expansion commerciale verticale ».
BlackCat se démarque pour deux raisons : c’est un acteur affilié qui a déployé BlackMatter dans le passé et son malware est écrit en Rust, ce qui indique comment les acteurs de la menace se tournent de plus en plus vers des langages de programmation avec des capacités de compilation croisée.
Le groupe « fournit une infrastructure, des échantillons de logiciels malveillants, des négociations de rançon et probablement des paiements », ont noté les chercheurs. « Quiconque a déjà accès à des environnements compromis peut utiliser les échantillons de BlackCat pour infecter une cible. »
Une fois exécuté, le logiciel malveillant obtient le système Windows GuidMachine du registre – une clé unique générée lors de l’installation du système d’exploitation – ainsi que son UUID, avant de passer au contournement du contrôle de compte d’utilisateur (UAC), supprimez les sauvegardes fantômes et démarrez le processus de chiffrement.
« Cette utilisation d’un Fendr modifié, également connu sous le nom d’ExMatter, représente un nouveau point de données reliant BlackCat à l’activité passée de BlackMatter », ont déclaré les chercheurs.
« La modification de cet outil réutilisé démontre un schéma de planification et de développement plus sophistiqué pour adapter les exigences aux environnements cibles, caractéristique d’une entreprise criminelle en pleine maturation. »