Es una de las primeras cepas de ransomware que se programan en Rust
El equipo de ransomware BlackCat ha sido visto ajustando su arsenal de malware para pasar desapercibido y expandir su alcance.
"Entre algunos de los desarrollos más notables se encuentra el uso de una nueva versión de la herramienta de exfiltración de datos Exmatter y el uso de Eamfo, un malware que roba información y está diseñado para robar las credenciales almacenadas por el software de copia de seguridad de Veeam", dijeron investigadores de Symantec en un nuevo informe.
BlackCat, también conocido por los nombres ALPHV y Noberus, se atribuye a un adversario rastreado como Coreid (también conocido como FIN7, Carbanak o Carbon Spider) y se dice que es un renombrado sucesor de DarkSide y BlackMatter, los cuales cerraron el año pasado luego de una serie de ataques de alto perfil, incluido el de Colonial Pipeline.
Se sabe que el actor de amenazas, al igual que otros notorios grupos de ransomware, ejecuta una operación de ransomware como servicio (RaaS), que involucra a sus desarrolladores principales que solicitan la ayuda de afiliados para llevar a cabo los ataques a cambio de una parte de las ganancias ilícitas.
ALPHV es también una de las primeras cepas de ransomware que se programan en Rust, una tendencia que desde entonces ha sido adoptada en los últimos meses por otras familias como Hive y Luna para desarrollar y distribuir malware multiplataforma.
La evolución de las tácticas, herramientas y procedimientos (TTP) del grupo se produce más de tres meses después de que se descubriera que la banda de ciberdelincuentes explotaba servidores de Microsoft Exchange sin parches como conducto para implementar ransomware.
Las actualizaciones posteriores de su conjunto de herramientas incorporaron nuevas funcionalidades de encriptación que permiten que el malware reinicie en modo seguro las máquinas Windows comprometidas para eludir las protecciones de seguridad.
"En una actualización de julio de 2022, el equipo agregó la indexación de datos robados, lo que significa que sus sitios web de fugas de datos se pueden buscar por palabra clave, tipo de archivo y más", dijeron los investigadores.
Las últimas mejoras se refieren a Exmatter, una herramienta de exfiltración de datos utilizada por BlackCat en sus ataques de ransomware. Además de recopilar archivos solo con un conjunto específico de extensiones, la versión renovada genera un informe de todos los archivos procesados e incluso los corrompe.
En el ataque también se implementó un malware de robo de información llamado Eamfo que está diseñado para desviar las credenciales almacenadas en el software de respaldo de Veeam y facilitar la escalada de privilegios y el movimiento lateral.
Los hallazgos son otra indicación de que los grupos de ransomware son expertos en adaptar y refinar continuamente sus operaciones para seguir siendo efectivos el mayor tiempo posible.
"Su desarrollo continuo también subraya el enfoque del grupo en el robo y la extorsión de datos, y la importancia ahora de este elemento de ataques para los actores de ransomware", dijeron los investigadores.
También se ha observado recientemente que BlackCat usa el malware Emotet como vector de infección inicial, sin mencionar la presencia de una afluencia de nuevos miembros del ahora desaparecido grupo de ransomware Conti luego de la retirada de este último del panorama de amenazas este año.
La puesta de sol de Conti también estuvo acompañada por la aparición de una nueva familia de ransomware denominada Monti, un grupo "doppelganger" que se ha encontrado haciéndose pasar deliberada y descaradamente por los TTP del equipo de Conti y sus herramientas.
La noticia de que BlackCat agrega una lista renovada de herramientas a sus ataques llega cuando un desarrollador asociado con el malware de cifrado de archivos LockBit 3.0 (también conocido como LockBit Black) supuestamente filtró el creador que se utiliza para crear versiones personalizadas, lo que genera preocupaciones de que podría conducir a un abuso más generalizado por parte de otros actores menos calificados.
No es solo LockBit. En los últimos dos años, los grupos de ransomware Babuk y Conti han sufrido robos similares, lo que redujo efectivamente la barrera de entrada y permitió que los actores maliciosos lanzaran rápidamente sus propios ataques.
