Deweloper lub programiści stojący za ransomware jako usługa (RaaS), znana jako ALPHV, BlackCat i Noberus, ciężko pracowała nad udoskonalaniem swoich taktyk, technik i procedur (TTP) i według danych wywiadowczych firmy Symantec dzisiaj jest prawdopodobnie bardziej niebezpieczna niż kiedykolwiek wcześniej.
Operacja ALPHV/BlackCat/Noberus – który Symantec śledzi jako Coreid (znany również jako FIN7, Carbon Spider) – jest głównym i ugruntowanym w szerszej rodzinie związanych lub mających siedzibę w Rosji załóg i oddziałów zajmujących się oprogramowaniem ransomware, z których wiele jest powiązanych przez mroczny i często trudny do- rozszyfrować sieć sojuszy i wzajemnych połączeń.
Wiadomo, że pochodzi z co najmniej dekady, kiedy wprowadził złośliwe oprogramowanie o nazwie Carbanak, ale obecnie jest bardziej znane z operacji ransomware z rzekomymi linkami do grupy BlackMatterktóry z kolei czerpał inspirację z operacji DarkSide, która się przewróciła Rurociąg kolonialny i ewentualnie za ich pośrednictwem Zło.
Ransomware ALPHV/BlackCat/Noberus zyskał rozgłos wcześniej w 2022 roku dzięki serii zuchwałych napadów logistyka paliw oraz operatorzy usług transportowych w Europie oraz w instytucjach edukacyjnych w USA.
Samo złośliwe oprogramowanie jest zakodowane w Rdzajeden z grupy języków wieloplatformowych, które są coraz bardziej cenione przez operatorów RaaS za elastyczność i możliwość szybkiego i łatwego zarówno środowiska Windows, jak i Linux.
Teraz Symantec mówi, że zaobserwował seria poważnych aktualizacji oprogramowania ransomware i ogólnego modus operandi Coreid.
„Ciągłe aktualizowanie i udoskonalanie operacji Noberusa pokazuje, że Coreid stale dostosowuje działanie oprogramowania ransomware, aby zapewnić jego maksymalną skuteczność” — napisał zespół firmy Symantec.
„FBI wydało ostrzeżenie w kwietniu 2022 r., mówiąc, że między listopadem 2021 a marcem 2022 r. co najmniej 60 organizacji na całym świecie został skompromitowany przez oprogramowanie ransomware Noberus – liczba ofiar jest prawdopodobnie wielokrotnością tej liczby”.
Nowa aktualizacja, która pojawiła się w czerwcu 2022 r., zawierała kompilację ARM do szyfrowania niestandardowych architektur i wprowadziła funkcję, która dodaje nową funkcję szyfrowania do kompilacji systemu Windows poprzez ponowne uruchomienie w trybie awaryjnym i trybie awaryjnym z obsługą sieci.
Zaktualizował także samą szafkę, dodając nową logikę restartu i upraszczając proces szyfrowania Linuksa. Dodatkowa aktualizacja w lipcu dodała indeksowanie skradzionych danych, dzięki czemu strony internetowe grupy, w których wyciekły dane, można przeszukiwać według parametrów, w tym słów kluczowych i typów plików.
Ale grupa nie poprzestała na tym. W sierpniu firma Symantec twierdzi, że zaobserwowała zaktualizowaną wersję narzędzia do eksfiltracji danych Exmatter używanego wraz z atakami ALPHV/BlackCat/Noberus – poprzednio używano go razem z oprogramowaniem ransomware BlackMatter, które ma na celu kradzież określonych typów plików z wybranych katalogów i przesłać je na serwer atakującego przed wdrożeniem oprogramowania ransomware.
Od tego lata Exmatter zawiera udoskonalenia typów kradniętych plików, dodanie funkcji protokołu przesyłania plików (FTP) oprócz SFTO i WebDav, możliwość tworzenia raportów zawierających przetworzone pliki, możliwość ich uszkodzenia oraz między innymi opcja samozniszczenia. Została ona również gruntownie przepisana, prawdopodobnie w celu uniknięcia wykrycia.
Jeden podmiot stowarzyszony ALPHV/BlackCat/Noberus również używał narzędzia wykradania informacji Eamfo do atakowania poświadczeń przechowywanych przez oprogramowanie do tworzenia kopii zapasowych Veeam — robi to, łącząc się z bazą danych Veeam SQL i wykonując określone zapytanie. używane przez LockBit oraz Yanluowang.
Ukierunkowanie firmy Veeam na kradzież poświadczeń to uznana technika, która przydaje się ze złośliwego punktu widzenia, ponieważ umożliwia eskalację uprawnień i przenoszenie na boki, a tym samym daje jeszcze jeden dostęp do danych do kradzieży i szyfrowania.
„Nie ma wątpliwości, że Coreid jest obecnie jednym z najbardziej niebezpiecznych i aktywnych twórców oprogramowania ransomware” — napisał zespół firmy Symantec.
„Grupa istnieje od 2012 roku i stała się znana z wykorzystywania swojego szkodliwego oprogramowania Carbanak do kradzieży pieniędzy z organizacji na całym świecie, przy czym preferowanymi celami są sektory bankowości, hotelarstwa i handlu detalicznego. Trzech członków grupy zostało aresztowanych w 2018 rokua w 2020 roku grupa zmieniła taktykę i uruchomiła operację ransomware jako usługa.
„Ciągły rozwój oprogramowania ransomware i programów partnerskich wskazuje, że ten wyrafinowany i dobrze wyposażony atakujący nie ma zamiaru nigdzie ruszyć w najbliższym czasie” – powiedzieli.