BlackCat grupa je još jednom dodala novi alat svom arsenalu kako bi izbjegla otkrivanje sigurnosnih rješenja koje nude različiti dobavljači. Napadači su kreirali novi uslužni program pod nazivom Munchkin koji im omogućava da pokrenu ransomware korisni teret na udaljenim mašinama ili da šifriraju udaljeni Server Message Block (SMB)/Common Internet File Shares (CIFS).
Ovo dolazi više od mjesec dana nakon što je Microsoft izvijestio da je pronašao novu verziju BlackCat ransomwarea koristeći alate kao što su Imppacket i RemCom kako bi se olakšalo lateralno pomicanje i napadi daljinskim izvršavanjem koda u ciljanim okruženjima.
Šta predstavlja novo ažuriranje?
Uslužni program Munchkin se distribuiše kao ISO datoteka, koja se učitava u VirtualBox radi izvršavanja.
- Ova ISO datoteka sadrži prilagođenu instalaciju Alpine OS-a, koja nakon izvršenja omogućava malveru da promijeni root lozinku virtuelnih mašina i potom izvrši binarni malver pod nazivom “controller”.
- Controller malver je napisan u Rust-u i podsjeća na BlackCat familiju malvera.
- Cilj mu je da zarazi specifične SMB/CIFS diskove, zabilježi aktivnosti u različitim izlaznim logovima i kada se operacija završi, isključuje VM.
Povezane kompanije izvode napade
Treba napomenuti da napadači ne samo da ažuriraju svoje alate kako bi izbjegli otkrivanje, već su i podružnice grupe nedavno bile uključene u više sajber napada širom svijeta.
- Grupa je preuzela odgovornost za ciljanje 10 banaka koje su koristile uslugu Quality Service Installation (QSI) otkrivši da je ukrala oko 5TB osjetljivih podataka.
- U drugom incidentu, Motel One Group je otkrila da su na nju utjecali BlackCat ransomware napadi u kojima su napadači ukrali neke podatke o klijentima, uključujući detalje o 150 kreditnih kartica.
- Osim toga, podružnica BlackCata poremetila je rad MGM Resortsa šifriranjem više od 100 ESXi hipervizora.
Zaključak
Usred hakovanja ransomware grupe i stalnih pokušaja da evoluiraju svoje tehnike, organizacijama se preporučuje da iskoriste ažurirane IOC-ove povezane sa malverom kako bi ostale sigurne. Osim toga, implementacija robusnog TIP-a pomaže da se takve prijetnje automatski otkriju i osujetite.
Izvor: Cyware Alerts – Hacker News
