Microsoft พบเวอร์ชันใหม่ของ BlackCat ransomware ซึ่งมีการฝัง Impacket networking framework และ Remcom hacking tool ที่สามารถเเพร่กระจายบนเครือข่ายที่ถูกโจมตี
ในเดือนเมษายนที่ผ่านมา นักวิจัยด้านความปลอดภัย VX-Underground ได้ทวีตให้ข้อมูลเกี่ยวกับเวอร์ชันใหม่ของเครื่องมือเข้ารหัส BlackCat/ALPHV ที่ชื่อว่า Sphynx
นักพัฒนา BlackCat ransomware ระบุไว้ในข้อความถึงกลุ่มพันธมิตรของพวกเขาว่า "การทดสอบคุณลักษณะพื้นฐานของ ALPHV/BlackCat 2.0: Sphynx เสร็จสมบูรณ์แล้ว"
การทำงานของ ransomware ได้ถูกอธิบายเพิ่มเติมไว้ว่า "code รวมถึง encryption ได้ถูกเขียนใหม่ทั้งหมดจากต้นฉบับ โดยค่าเริ่มต้นทุกไฟล์จะถูกล็อคไว้ ความสำคัญหลักของการอัปเดตครั้งนี้คือเพื่อเพิ่มประสิทธิภาพในการหลีกเลี่ยงการตรวจจับโดยระบบ AV/EDR"
หลังจากนั้นไม่นาน IBM Security X-Force ได้ทำการวิเคราะห์ BlackCat encryptor ตัวใหม่ และเตือนว่า encryptor นี้ได้ถูกพัฒนาเป็นชุดเครื่องมือแล้ว
ข้อความนี้อ้างอิงจาก strings ในไฟล์ที่ระบุว่ามี impacket ซึ่งถูกใช้สำหรับ post-exploitation หลังการเข้าถึงระบบ เช่น remote execution และการดักจับข้อมูลจาก processes
The BlackCat Sphynx encryptor
ทีม Threat Intelligence ของ Microsoft ระบุว่า "พวกเขาได้ทำการวิเคราะห์เวอร์ชันใหม่ของ Sphynx และพบว่ามันใช้ Impacket framework เพื่อทำการ lateral movement ในเครือข่ายที่ถูกควบคุม ซึ่งพบว่าถูกใช้งานในแคมเปญล่าสุดที่ถูกตรวจพบจาก Microsoft"
โดย Impacket เป็น open-source Python classes สำหรับใช้งานกับ network protocols ซึงโดยปกติจะถูกใช้งานอย่างแพร่หลายโดย penetration testers, red teamers และผู้โจมตี เพื่อโจมตีต่อไปบนเครือข่ายของเหยื่อ (lateral movement), ดึงข้อมูลสิทธิ์ในระบบจาก processes, ดำเนินการโจมตี NTLM relay และอื่น ๆ อีกมายมาย
Impacket ได้รับความนิยมอย่างมากในกลุ่มผู้โจมตีที่เจาะระบบอุปกรณ์บนเครือข่าย แล้วใช้ชุดเครื่องมือนี้เพื่อรับข้อมูลสิทธิ์ที่สูงขึ้น และเข้าถึงอุปกรณ์อื่น ๆ ในเครือข่าย
Microsoft รายงานว่า การดำเนินการของ BlackCat ใช้ Impacket framework ในการคัดลอกข้อมูลสิทธิ์การเข้าถึง และดำเนินการ remote execution เพื่อติดตั้งโปรแกรม encryptor ไปยังเครือข่ายทั้งหมด
นอกจาก Impacket แล้ว Microsoft ระบุว่า "โปรแกรม encryptor ยังฝัง Remcom hacking tool ซึ่งเป็นเครื่องมือ remote shell ขนาดเล็กที่ช่วยให้โปรแกรม encryptor สามารถรันคำสั่งจากระยะไกลบนอุปกรณ์อื่น ๆ ในเครือข่ายได้"
ในคำแนะนำของ Microsoft 365 Defender Threat Analytics ระบุว่า พวกเขาพบการใช้ encryption นี้ถูกใช้งานโดยเครือข่ายของ BlackCat ที่ชื่อ 'Storm-0875' มาตั้งแต่กรกฎาคม 2023
Microsoft ได้ระบุเวอร์ชันใหม่นี้ว่าเป็น BlackCat 3.0 โดยปฏิบัติการที่ชื่อว่า 'Sphynx' หรือ 'BlackCat/ALPHV 2.0'
BlackCat หรือเรียกอีกชื่อว่า ALPHV เริ่มดำเนินการมาตั้งแต่เดือนพฤศจิกายน 2021 และเชื่อกันว่าเป็นการรีแบรนด์ของกลุ่ม DarkSide/BlackMatter ซึ่งรับผิดชอบในการโจมตี Colonial Pipeline
กลุ่ม ransomware ดังกล่าว ถูกพิจารณาว่าเป็นหนึ่งในการดำเนินการ ransomware ชั้นนำ และระดับสูงสุดเสมอ โดยมีการพัฒนาวิธีการโจมตีอยู่ตลอดด้วยกลยุทธ์ใหม่ ๆ
ตัวอย่างเช่น การโจมตีแบบใหม่ในช่วงฤดูร้อนปีที่แล้ว กลุ่ม ransomware ได้สร้างเว็บไซต์บน Clearweb สำหรับเปิดเผยข้อมูลสำหรับเหยื่อที่เฉพาะเจาะจง เพื่อให้ลูกค้า และพนักงานสามารถตรวจสอบได้ว่าข้อมูลของตนถูกเปิดเผยหรือไม่ รวมถึงเมื่อเร็ว ๆ นี้ ผู้โจมตีทำได้สร้าง Data Leak API ซึ่งช่วยให้การเผยแพร่ข้อมูลที่ถูกขโมยเป็นเรื่องง่ายขึ้นอีกด้วย
ที่มา: bleepingcomputer