Корпорація Microsoft виявила нову версію програми-вимагача BlackCat, яка вводить у дію мережевий фреймворк Impacket і хакерський інструмент RemСom, обидва з яких дозволяють поширення через зламану мережу. Про це повідомляє BleepingComputer.
Ще навесні IBM Security X-Force глибоко дослідила новий шифрувальник BlackCat, попередивши, що шифратор перетворився на набір інструментів.
Це ґрунтувалося на рядках у виконуваному файлі, які вказували, що він містить Impacket, який використовувався для функцій після експлуатації, таких як віддалене виконання і скидання секретів із процесів.
Рядки пакетів, знайдені IBM X-Force. Джерело: IBM
У серії публікацій команда Microsoft Threat Intelligence повідомила, що вони проаналізували нову версію Sphynx (нову версію шифратора BlackCat/ALPHV, описану ще у квітні дослідником кібербезпеки VX-Underground) і виявили, що вона використовує фреймворк Impacket для бокового поширення у скомпрометованих мережах.
«У Microsoft помітили, що в останніх кампаніях використовується нова версія програми-вимагача BlackCat, – повідомили представники компанії. – Ця версія включає інструмент зв’язку з відкритим вихідним кодом Impacket, який загрозливі суб’єкти використовують для сприяння бічному переміщенню в цільових середовищах».
Impacket описується як колекція класів Python із відкритим кодом для роботи з мережевими протоколами. Однак він частіше використовується для бокового поширення в мережі, скидання облікових даних із процесів, виконання релейних атак NTLM тощо.
Impacket став дуже популярним серед зловмисників, які зламують пристрій у мережі.
За словами фахівців Microsoft, операція BlackCat використовує фреймворк Impacket для дублювання облікових даних і віддаленого виконання служби для розгортання шифрувальника у всій мережі.
Крім Impacket, шифрувальник вбудовує інструмент віддаленого зламу RemСom, який дає йому змогу віддалено виконувати команди на інших пристроях у мережі.
Як повідомляє BleepingComputer, у Microsoft бачили цей новий зашифрований код, який використовується філіалом BlackCat «Storm-0875», з липня 2023 року. Компанія ідентифікує цю нову версію як BlackCat 3.0.
BlackCat, також відомий як ALPHV, розпочав свою діяльність у листопаді 2021 року і вважається ребрендингом банди DarkSide/BlackMatter, відповідальної за атаку на Colonial Pipeline.
Нещодавно зловмисники створили API для витоку даних, що дає змогу легше поширювати вкрадені дані.
Завдяки тому, що шифрувальник BlackCat перетворився з дешифратора на повноцінний набір інструментів після експлуатації, він дозволяє афілійованим програмам-вимагачам швидше розгортати шифрування файлів у мережі.
