Společnost Microsoft objevila novou verzi ransomwaru BlackCat

Divize Microsoft Threat Intelligence nedávno oznámila objevení nového kmene nechvalně známé varianty ransomwaru BlackCat.

Ve vlákně zveřejněném na sociální síti X (Twitter) společnost uvedla, že nová verze přichází se dvěma doplňky, které provozovatelům ransomwaru pomáhají pohybovat se laterálně napříč napadenými sítěmi. Mezi tyto dva přírůstky patří open-source nástroj pro komunikační rámec Impacket a hackerský nástroj Remcom.

Impacket a Remcom

Impacket byl popsán jako open-source kolekce tříd jazyka Python pro práci se síťovými protokoly, kterou pentesteři, redteamy a kyberzločinci častěji používají jako sadu nástrojů pro post-exploataci, protože jim umožňuje pohybovat se laterálně po síti, vypisovat pověření z procesů, provádět útoky pomocí NTLM relay a další. V případě BlackCat se Impacket používá k výpisu pověření a vzdálenému spuštění šifrovacího kódu.

Hacktool Remcom se používá také ke vzdálenému spuštění kódu a bočnímu pohybu, což obojí usnadňuje nasazení šifrovacího nástroje.

Zdá se, že Microsoft není první, kdo na tuto aktualizovanou verzi BlackCatu narazil. Podle serveru BleepingComputer o ní v dubnu letošního roku informoval server VX-Underground. S odvoláním na zprávu, kterou provozovatelé BlackCatu zaslali svým „partnerům“, publikace uvádí, že nová verze se jmenuje Sphynx: „Kód, včetně šifrování, byl zcela přepsán od základu. Ve výchozím nastavení jsou všechny soubory zmrazeny. Hlavní prioritou této aktualizace byla optimalizace detekce pomocí AV/EDR,“ uvedli útočníci.

Podle BleepingComputer také Microsoft uvedl, že Storm-0875 začal používat Sphynx v červenci tohoto roku.

BlackCat je také známý jako ALPHV a poprvé byl spuštěn v listopadu 2021. Je všeobecně považován za jednu z nejoblíbenějších a nejškodlivějších variant ransomwaru.

Zdroj: Bleepingcomputer