BlackCat ransomware อัปเกรดเครื่องมือที่ใช้สำหรับขโมยข้อมูล

BlackCat ransomware (หรือ ALPHV) ได้ชื่อว่าเป็นผู้สืบทอดการดำเนินการต่อจากกลุ่ม Darkside และ BlackMatter เนื่องจากมีการดำเนินการในรูปแบบ Ransomware -as-a-service (RaaS) ที่ล้ำสมัยที่สุด

นักวิจัยด้านความปลอดภัยของ Symantec ที่ติดตามปฏิบัติการของ BlackCat ในชื่อว่า "Noberus" รายงานว่ากลุ่มผู้พัฒนา BlackCat Ransomware ถือเป็นกลุ่มแรก ๆ ที่ใช้ภาษา Rust (ทำให้สามารถทำงานได้ในหลายแพลตฟอร์ม) ได้มีการปรับปรุงมัลแวร์ และเพิ่มคุณสมบัติใหม่ต่าง ๆ ออกมาอย่างต่อเนื่อง

เมื่อเร็ว ๆ นี้ เครื่องมือที่ใช้ในการขโมยข้อมูลออกจากระบบของเหยื่อที่มีชื่อว่า "Exmatter" ซึ่งเปิดตัวมาพร้อมกับ BlackCat ในเดือนพฤศจิกายน 2564 ซึ่งปัจจุบันได้รับการอัปเดตครั้งใหญ่ไปแล้วในเดือนสิงหาคม 2565 โดยมีการเปลี่ยนแปลงดังต่อไปนี้ :

จำกัดประเภทของไฟล์ที่จะขโมยออกมา โดยแยกออกเป็น PDF, DOC, DOCX, XLS, PNG, JPG, JPEG, TXT, BMP, RDP, SQL, MSG, PST, ZIP, RTF, IPT และ DWG
เพิ่ม FTP เป็นตัวเลือกการขโมยข้อมูลเพิ่มเติมจาก SFTP และ WebDav
เพิ่มตัวเลือกในการสร้างรายงานที่แสดงไฟล์ที่สามารถประมวลผลได้ทั้งหมด
เพิ่มคุณสมบัติ “Eraser” ที่ช่วยให้ทางเลือกในการจัดการกับไฟล์ที่เสียหาย
เพิ่มตัวเลือกการกำหนดค่า "Self-destruct" เพื่อปิด และลบตัวเองหากมีการดำเนินการที่ไม่ถูกต้อง
ลบการสนับสนุนสำหรับ Socks5
เพิ่มตัวเลือกสำหรับการปรับใช้ GPO

นอกเหนือจากการขยายฟังก์ชัน Exmatter รุ่นล่าสุดยังได้ผ่านการเปลี่ยนแปลงโค้ดจำนวนมากเพื่อใช้หลีกเลี่ยงการตรวจสอบ

อีกสิ่งที่เพิ่มความสามารถในการขโมยข้อมูลของ BlackCat เมื่อเร็ว ๆ นี้คือการใช้มัลแวร์ตัวใหม่ที่เรียกว่า "Eamfo" ซึ่งกำหนดเป้าหมายเป็นข้อมูลประจำตัวที่เก็บไว้ในระบบสำรองข้อมูลของ Veeam

นักวิจัยสังเกตว่ามัลแวร์ตัวดังกล่าวยังถูกใช้โดยกลุ่ม ransomware อื่น ๆ ในอดีต รวมไปถึง Monti, Yanluowang และ LockBit

ทำให้เห็นได้ชัดว่า BlackCat มีการพัฒนาอย่างต่อเนื่องด้วยเครื่องมือใหม่ การปรับปรุง และกลยุทธ์การขู่กรรโชกเพื่อทำให้การทำงานของ RaaS มีประสิทธิภาพมากขึ้น

นักวิจัยยังพบนักพัฒนาบางส่วนจากกลุ่ม Conti มีการย้ายเข้าไปร่วมกลุ่มกับ BlackCat/ALPHV หลังจากที่กลุ่ม Conti ransomware ยุติการดำเนินการ

การยุติการดำเนินการของกลุ่ม Conti ได้นำไปสู่การหลั่งไหลของผู้โจมตีที่มีประสบการณ์สูง ซึ่งสามารถปฏิบัติการ การโจมตีครั้งใหม่ได้อย่างรวดเร็วภายใต้การดำเนินการในชื่อกลุ่มใหม่

ที่มา : bleepingcomputer

 

Read more