Microsoft afslørede for nylig en ny iteration af BlackCat ransomware, som inkorporerer Impacket-netværksrammen og Remcom-hackingværktøjet.

Disse nye tilføjelser til BlackCat, giver malwaren mulighed for at sprede sig sidevejs inden for et kompromitteret netværk.

Tidligere i år fremhævede VX-Underground, en cybersikkerhedsforsker, en frisk version af BlackCat/ALPHV-kryptatoren ved navn Sphynx. BlackCat-operatørerne fortalte deres datterselskaber, "Vi er glade for at kunne informere dig om, at test af grundlæggende funktioner ALPHV/BlackCat 2.0: Sphynx er afsluttet." De fortsatte med at forklare, at koden, inklusive kryptering, var blevet fuldstændig omarbejdet, med det primære fokus på at optimere detektion af AV/EDR-systemer.

IBM Security X-Force gennemførte en omfattende undersøgelse af den opdaterede BlackCat-kryptering og understregede dens udvikling til et omfattende værktøjssæt. Denne konklusion blev draget fra analyse af strenge i den eksekverbare, hvilket indikerer tilstedeværelsen af ​​Impacket, der anvendes til post-udnyttelsesfunktioner som fjernudførelse og udtrækning af hemmeligheder fra processer.

Microsofts Threat Intelligence-team dykkede også ned i Sphynx-versionen og bekræftede dens brug af Impacket-rammen til lateral bevægelse inden for kompromitterede netværk. Ifølge Microsoft udnytter BlackCat-operationen Impacket til legitimationsmanipulation og fjernudførelse af tjenester til at implementere krypteringsværktøjet på tværs af et helt netværk.

Derudover afslørede Microsoft, at krypteringsværktøjet inkorporerer Remcom hacking-værktøjet, en kompakt ekstern shell, der gør det muligt for kryptering at udføre kommandoer på andre enheder i et netværk. Microsofts 365 Defender Threat Analytics-rådgivning afslørede brugen af ​​denne nye kryptering af BlackCat-tilknyttede 'Storm-0875' siden juli 2023.

Selvom Microsoft udpeger denne version som BlackCat 3.0, refererer ransomware-handlingen til den som 'Sphynx' eller 'BlackCat/ALPHV 2.0' i kommunikation med tilknyttede selskaber.

BlackCat, også kendt som ALPHV, indledte sine operationer i november 2021 og menes at være en rebranding af DarkSide/BlackMatter-banden, der er berygtet for Colonial Pipeline-angrebet. Denne ransomware-gruppe har konsekvent demonstreret avancerede muligheder og fortsætter med at forfine sin taktik.

For eksempel introducerede banden sidste sommer et clearweb-websted dedikeret til at lække ofredata, så kunder og medarbejdere kan tjekke, om deres data var kompromitteret. For nylig udviklede de et datalæk API, der forenklede spredningen af ​​stjålne data.

Transformationen af ​​BlackCat-kryptering til et omfattende post-udnyttelsesværktøjssæt gør det muligt for ransomware-tilknyttede selskaber hurtigt at kryptere filer på tværs af netværket. I betragtning af det haster med at opdage ransomware-angreb omgående, udgør disse tilføjelser en endnu større udfordring for forsvarere.