Microsoft พบเวอร์ชันใหม่ของ BlackCat ransomware ซึ่งมีการฝัง Impacket networking framework และ Remcom hacking tool ที่สามารถเเพร่กระจายบนเครือข่ายที่ถูกโจมตี

ในเดือนเมษายนที่ผ่านมา นักวิจัยด้านความปลอดภัย VX-Underground ได้ทวีตให้ข้อมูลเกี่ยวกับเวอร์ชันใหม่ของเครื่องมือเข้ารหัส BlackCat/ALPHV ที่ชื่อว่า Sphynx

นักพัฒนา BlackCat ransomware ระบุไว้ในข้อความถึงกลุ่มพันธมิตรของพวกเขาว่า "การทดสอบคุณลักษณะพื้นฐานของ ALPHV/BlackCat 2.0: Sphynx เสร็จสมบูรณ์แล้ว"

การทำงานของ ransomware ได้ถูกอธิบายเพิ่มเติมไว้ว่า "code รวมถึง encryption ได้ถูกเขียนใหม่ทั้งหมดจากต้นฉบับ โดยค่าเริ่มต้นทุกไฟล์จะถูกล็อคไว้ ความสำคัญหลักของการอัปเดตครั้งนี้คือเพื่อเพิ่มประสิทธิภาพในการหลีกเลี่ยงการตรวจจับโดยระบบ AV/EDR"

หลังจากนั้นไม่นาน IBM Security X-Force ได้ทำการวิเคราะห์ BlackCat encryptor ตัวใหม่ และเตือนว่า encryptor นี้ได้ถูกพัฒนาเป็นชุดเครื่องมือแล้ว

ข้อความนี้อ้างอิงจาก strings ในไฟล์ที่ระบุว่ามี impacket ซึ่งถูกใช้สำหรับ post-exploitation หลังการเข้าถึงระบบ เช่น remote execution และการดักจับข้อมูลจาก processes

The BlackCat Sphynx encryptor

ทีม Threat Intelligence ของ Microsoft ระบุว่า "พวกเขาได้ทำการวิเคราะห์เวอร์ชันใหม่ของ Sphynx และพบว่ามันใช้ Impacket framework เพื่อทำการ lateral movement ในเครือข่ายที่ถูกควบคุม ซึ่งพบว่าถูกใช้งานในแคมเปญล่าสุดที่ถูกตรวจพบจาก Microsoft"

โดย Impacket เป็น open-source Python classes สำหรับใช้งานกับ network protocols ซึงโดยปกติจะถูกใช้งานอย่างแพร่หลายโดย penetration testers, red teamers และผู้โจมตี เพื่อโจมตีต่อไปบนเครือข่ายของเหยื่อ (lateral movement), ดึงข้อมูลสิทธิ์ในระบบจาก processes, ดำเนินการโจมตี NTLM relay และอื่น ๆ อีกมายมาย

Impacket ได้รับความนิยมอย่างมากในกลุ่มผู้โจมตีที่เจาะระบบอุปกรณ์บนเครือข่าย แล้วใช้ชุดเครื่องมือนี้เพื่อรับข้อมูลสิทธิ์ที่สูงขึ้น และเข้าถึงอุปกรณ์อื่น ๆ ในเครือข่าย

Microsoft รายงานว่า การดำเนินการของ BlackCat ใช้ Impacket framework ในการคัดลอกข้อมูลสิทธิ์การเข้าถึง และดำเนินการ remote execution เพื่อติดตั้งโปรแกรม encryptor ไปยังเครือข่ายทั้งหมด

นอกจาก Impacket แล้ว Microsoft ระบุว่า "โปรแกรม encryptor ยังฝัง Remcom hacking tool ซึ่งเป็นเครื่องมือ remote shell ขนาดเล็กที่ช่วยให้โปรแกรม encryptor สามารถรันคำสั่งจากระยะไกลบนอุปกรณ์อื่น ๆ ในเครือข่ายได้"

ในคำแนะนำของ Microsoft 365 Defender Threat Analytics ระบุว่า พวกเขาพบการใช้ encryption นี้ถูกใช้งานโดยเครือข่ายของ BlackCat ที่ชื่อ 'Storm-0875' มาตั้งแต่กรกฎาคม 2023

Microsoft ได้ระบุเวอร์ชันใหม่นี้ว่าเป็น BlackCat 3.0 โดยปฏิบัติการที่ชื่อว่า 'Sphynx' หรือ 'BlackCat/ALPHV 2.0'

BlackCat หรือเรียกอีกชื่อว่า ALPHV เริ่มดำเนินการมาตั้งแต่เดือนพฤศจิกายน 2021 และเชื่อกันว่าเป็นการรีแบรนด์ของกลุ่ม DarkSide/BlackMatter ซึ่งรับผิดชอบในการโจมตี Colonial Pipeline

กลุ่ม ransomware ดังกล่าว ถูกพิจารณาว่าเป็นหนึ่งในการดำเนินการ ransomware ชั้นนำ และระดับสูงสุดเสมอ โดยมีการพัฒนาวิธีการโจมตีอยู่ตลอดด้วยกลยุทธ์ใหม่ ๆ

ตัวอย่างเช่น การโจมตีแบบใหม่ในช่วงฤดูร้อนปีที่แล้ว กลุ่ม ransomware ได้สร้างเว็บไซต์บน Clearweb สำหรับเปิดเผยข้อมูลสำหรับเหยื่อที่เฉพาะเจาะจง เพื่อให้ลูกค้า และพนักงานสามารถตรวจสอบได้ว่าข้อมูลของตนถูกเปิดเผยหรือไม่ รวมถึงเมื่อเร็ว ๆ นี้ ผู้โจมตีทำได้สร้าง Data Leak API ซึ่งช่วยให้การเผยแพร่ข้อมูลที่ถูกขโมยเป็นเรื่องง่ายขึ้นอีกด้วย

ที่มา: bleepingcomputer

Mandiant บริษัทด้านความปลอดภัยทางไซเบอร์ พบกลุ่ม Hacker ในเครือ ALPHV/BlackCat ransomware ที่มีชื่อว่า UNC4466 ใช้ช่องโหว่ 3 รายการ ที่ส่งผลกระทบต่อผลิตภัณฑ์ Veritas Backup เพื่อเข้าถึงระบบของเป้าหมาย (initial access)

ALPHV/BlackCat ransomware ถูกพบครั้งแรกในเดือนธันวาคม 2021 โดยมาจากการรวมตัวกันของสมาชิกกลุ่ม Darkside และ Blackmatter ที่ยุติปฏิบัติการลงอย่างกะทันหันเพื่อหลบหนีการจับกุมของหน่วยงานรัฐ (more…)

เมื่อสัปดาห์ที่ผ่านมาพบสายการบินที่ให้บริการในประเทศไทย 2 สายการบินถูกโจมตี และถูกขโมยข้อมูลภายในออกไปได้ โดยทั้ง 2 สายการบินถูกโจมตีโดย Ransomware คนละกลุ่มในเวลาไล่เรี่ยกัน

โดยการโจมตีครั้งแรกพบเมื่อวันที่ 11 พฤศจิกายน 2565 จากกลุ่ม Daixin ransomware ได้โจมตีสายการบิน AirAsia ซึ่งทำให้ได้ข้อมูลผู้โดยสารของสายการบินออกไปได้กว่า 5 ล้านรายการ รวมถึงข้อมูลพนักงานทั้งหมด ซึ่งจากการตรวจสอบบนไฟล์ CSV 2 ไฟล์ที่ถูกเผยแพร่ไว้บนเว็ปไซต์ของทางกลุ่ม พบว่าข้อมูลไฟล์ในไฟล์ส่วนของผู้โดยสารประกอบไปด้วย รหัสผู้โดยสาร ชื่อ รหัสการจอง ค่าตั๋วโดยสาร เป็นต้น และในส่วนของพนักงานสายการบินจะประกอบไปด้วย รูปถ่าย คำถามลับต่าง ๆ ข้อมูลการเกิด และสัญชาติ เป็นต้น

ทั้งนี้ทางกลุ่มยังได้ระบุว่า พวกเขาได้หลีกเลี่ยงการเข้ารหัสข้อมูลสำคัญที่เชื่อมต่อกับอุปกรณ์การบิน เพื่อหลีกเลี่ยงผลกระทบที่อาจทำให้เกิดอันตรายถึงชีวิตไว้ด้วย

ต่อมาเมื่อวันที่ 20 พฤศจิกายน 2565 ที่ผ่านมา พบว่ามีการเผยแพร่ข้อมูลของสายการบิน Nok Air อยู่บนเว็ปไซต์ของกลุ่ม ALPHV ซึ่งทางกลุ่มระบุว่าได้ทำการโจมตี และได้ข้อมูลออกมาแล้วกว่า 500 GB โดยข้อมูลที่ได้ออกมานั้น จะประกอบไปด้วยโฟลเดอร์ ไฟล์ และข้อมูลที่เก็บอยู่ในหลายโฟลเดอร์ ไฟล์เอกสาร สเปรดชีต และอื่นๆ โดยจากรูปที่กลุ่มผู้โจมตีเผยแพร่ออกมาจะพบว่าไฟล์บางไฟล์ที่ชื่อว่า refund to customers.

BlackCat ransomware (หรือ ALPHV) ได้ชื่อว่าเป็นผู้สืบทอดการดำเนินการต่อจากกลุ่ม Darkside และ BlackMatter เนื่องจากมีการดำเนินการในรูปแบบ Ransomware -as-a-service (RaaS) ที่ล้ำสมัยที่สุด

นักวิจัยด้านความปลอดภัยของ Symantec ที่ติดตามปฏิบัติการของ BlackCat ในชื่อว่า "Noberus" รายงานว่ากลุ่มผู้พัฒนา BlackCat Ransomware ถือเป็นกลุ่มแรก ๆ ที่ใช้ภาษา Rust (ทำให้สามารถทำงานได้ในหลายแพลตฟอร์ม) ได้มีการปรับปรุงมัลแวร์ และเพิ่มคุณสมบัติใหม่ต่าง ๆ ออกมาอย่างต่อเนื่อง

เมื่อเร็ว ๆ นี้ เครื่องมือที่ใช้ในการขโมยข้อมูลออกจากระบบของเหยื่อที่มีชื่อว่า "Exmatter" ซึ่งเปิดตัวมาพร้อมกับ BlackCat ในเดือนพฤศจิกายน 2564 ซึ่งปัจจุบันได้รับการอัปเดตครั้งใหญ่ไปแล้วในเดือนสิงหาคม 2565 โดยมีการเปลี่ยนแปลงดังต่อไปนี้ :

จำกัดประเภทของไฟล์ที่จะขโมยออกมา โดยแยกออกเป็น PDF, DOC, DOCX, XLS, PNG, JPG, JPEG, TXT, BMP, RDP, SQL, MSG, PST, ZIP, RTF, IPT และ DWG
เพิ่ม FTP เป็นตัวเลือกการขโมยข้อมูลเพิ่มเติมจาก SFTP และ WebDav
เพิ่มตัวเลือกในการสร้างรายงานที่แสดงไฟล์ที่สามารถประมวลผลได้ทั้งหมด
เพิ่มคุณสมบัติ “Eraser” ที่ช่วยให้ทางเลือกในการจัดการกับไฟล์ที่เสียหาย
เพิ่มตัวเลือกการกำหนดค่า "Self-destruct" เพื่อปิด และลบตัวเองหากมีการดำเนินการที่ไม่ถูกต้อง
ลบการสนับสนุนสำหรับ Socks5
เพิ่มตัวเลือกสำหรับการปรับใช้ GPO

นอกเหนือจากการขยายฟังก์ชัน Exmatter รุ่นล่าสุดยังได้ผ่านการเปลี่ยนแปลงโค้ดจำนวนมากเพื่อใช้หลีกเลี่ยงการตรวจสอบ

อีกสิ่งที่เพิ่มความสามารถในการขโมยข้อมูลของ BlackCat เมื่อเร็ว ๆ นี้คือการใช้มัลแวร์ตัวใหม่ที่เรียกว่า "Eamfo" ซึ่งกำหนดเป้าหมายเป็นข้อมูลประจำตัวที่เก็บไว้ในระบบสำรองข้อมูลของ Veeam

นักวิจัยสังเกตว่ามัลแวร์ตัวดังกล่าวยังถูกใช้โดยกลุ่ม ransomware อื่น ๆ ในอดีต รวมไปถึง Monti, Yanluowang และ LockBit

ทำให้เห็นได้ชัดว่า BlackCat มีการพัฒนาอย่างต่อเนื่องด้วยเครื่องมือใหม่ การปรับปรุง และกลยุทธ์การขู่กรรโชกเพื่อทำให้การทำงานของ RaaS มีประสิทธิภาพมากขึ้น

นักวิจัยยังพบนักพัฒนาบางส่วนจากกลุ่ม Conti มีการย้ายเข้าไปร่วมกลุ่มกับ BlackCat/ALPHV หลังจากที่กลุ่ม Conti ransomware ยุติการดำเนินการ

การยุติการดำเนินการของกลุ่ม Conti ได้นำไปสู่การหลั่งไหลของผู้โจมตีที่มีประสบการณ์สูง ซึ่งสามารถปฏิบัติการ การโจมตีครั้งใหม่ได้อย่างรวดเร็วภายใต้การดำเนินการในชื่อกลุ่มใหม่

ที่มา : bleepingcomputer

 

รัฐคารินเทียในประเทศออสเตรีย ถูกกลุ่มแรนซัมแวร์ BlackCat หรือที่รู้จักในชื่อ ALPHV เรียกค่าไถ่เป็นจำนวนเงิน 5 ล้านดอลลาร์เพื่อปลดล็อกระบบคอมพิวเตอร์ที่ถูกโจมตี

การโจมตีเกิดขึ้นในวันอังคารที่ผ่านมา ทำให้การปฏิบัติงานของบริการภาครัฐต้องหยุดชะงัก เนื่องจากคอมพิวเตอร์หลายพันเครื่องถูกล็อกโดยแรนซัมแวร์

เว็บไซต์ และบริการอีเมลของรัฐคารินเทียยังออฟไลน์อยู่ ทำให้ไม่สามารถให้บริการออกหนังสือเดินทาง หรือชําระค่าปรับทางจราจรได้

นอกจากนี้การโจมตีทางไซเบอร์ยังส่งผลกระทบต่อระบบรายงานผลการตรวจ COVID-19 และการติดตามผู้ใกล้ชิด

แฮ็กเกอร์เรียกค่าไถ่สำหรับการถอดรหัสในราคา 5 ล้านดอลลาร์ โดยโฆษกของรัฐ Gerd Kurath กล่าวกับ Euractiv ว่าจะไม่ทำตามข้อเรียกร้องของแฮ็กเกอร์

Kurath กล่าวเพิ่มเติมว่าขณะนี้ยังไม่มีหลักฐานว่า BlackCat สามารถขโมยข้อมูลจากระบบของภาครัฐออกไปได้ และแผนการของรัฐคือการกู้ข้อมูลคืนจากระบบสำรองข้อมูล

Kurath กล่าวว่าจาก 3,000 ระบบที่ได้รับผลกระทบ ระบบแรกคาดว่าจะสามารถเปิดให้บริการได้อีกครั้งภายในวันนี้

บนเว็บไซต์ของ BlackCat ซึ่งปกติจะมีการเผยแพร่ไฟล์ที่ขโมยมาได้จากเหยื่อที่ไม่ยอมจ่ายค่าไถ่ แต่พบว่ายังไม่มีการเผยแพร่ข้อมูลใดๆ ที่มาจากรัฐคารินเทีย ซึ่งอาจบ่งบอกได้ว่าการเจรจาอาจยังไม่สิ้นสุด

ALPHV/BlackCat

กลุ่มแรนซัมแวร์ ALPHV/BlackCat ถูกพบครั้งแรกในเดือนพฤศจิกายน 2564 โดยเป็นหนึ่งในกลุ่มที่มีการปฏิบัติการการโจมตีที่ค่อนข้างซับซ้อน โดยคาดกันว่ากลุ่มดังกล่าวเป็นการรีแบรนด์มาจาก DarkSide/BlackMatter ที่เป็นกลุ่มผู้โจมตี Colonial Pipeline เมื่อปีที่แล้ว

ในช่วงต้นปี 2022 กลุ่มแรนซัมแวร์ในเครือของ BlackCat ได้โจมตีหน่วยงาน และแบรนด์แฟชันสุดหรูที่มีชื่อเสียงอย่าง Moncler และ ผู้ให้บริการจัดการสินค้าของสายการบิน Swissport

ภายในสิ้นไตรมาสแรกของปี FBI ได้ประกาศแจ้งเตือนว่ากลุ่มแรนซัมแวร์ BlackCat ได้มีการโจมตีหน่วยงานต่างๆ อย่างน้อย 60 แห่งทั่วโลก

จากการโจมตีรัฐคารินเทีย และการเรียกค่าไถ่จำนวนมากนี้แสดงให้เห็นว่าผู้โจมตีมุ่งเน้นการโจมตีไปยังองค์กรที่สามารถจ่ายเงินจำนวนมากเพื่อถอดรหัสระบบ และอาจยอมจ่ายเงินเพื่อป้องกันความเสียหายเพิ่มเติม อันเป็นผลมาจากการหยุดชะงักในการปฏิบัติงานเป็นเวลานาน

ที่มา : bleepingcomputer

เพิ่มเติม IOCs : ข้อมูลการโจมตีโดย BlackCat/ALPHV ช่วงกลางเดือนกุมภาพันธ์ 2022