Rodzina ransomware ALPHV/BlackCat staje się coraz bardziej niebezpieczna


Deweloper lub programiści stojący za ransomware jako usługa (RaaS), znana jako ALPHV, BlackCat i Noberus, ciężko pracowała nad udoskonalaniem swoich taktyk, technik i procedur (TTP) i według danych wywiadowczych firmy Symantec dzisiaj jest prawdopodobnie bardziej niebezpieczna niż kiedykolwiek wcześniej.

Operacja ALPHV/BlackCat/Noberus – który Symantec śledzi jako Coreid (znany również jako FIN7, Carbon Spider) – jest głównym i ugruntowanym w szerszej rodzinie związanych lub mających siedzibę w Rosji załóg i oddziałów zajmujących się oprogramowaniem ransomware, z których wiele jest powiązanych przez mroczny i często trudny do- rozszyfrować sieć sojuszy i wzajemnych połączeń.

Wiadomo, że pochodzi z co najmniej dekady, kiedy wprowadził złośliwe oprogramowanie o nazwie Carbanak, ale obecnie jest bardziej znane z operacji ransomware z rzekomymi linkami do grupy BlackMatterktóry z kolei czerpał inspirację z operacji DarkSide, która się przewróciła Rurociąg kolonialny i ewentualnie za ich pośrednictwem Zło.

Ransomware ALPHV/BlackCat/Noberus zyskał rozgłos wcześniej w 2022 roku dzięki serii zuchwałych napadów logistyka paliw oraz operatorzy usług transportowych w Europie oraz w instytucjach edukacyjnych w USA.

Samo złośliwe oprogramowanie jest zakodowane w Rdzajeden z grupy języków wieloplatformowych, które są coraz bardziej cenione przez operatorów RaaS za elastyczność i możliwość szybkiego i łatwego zarówno środowiska Windows, jak i Linux.

Teraz Symantec mówi, że zaobserwował seria poważnych aktualizacji oprogramowania ransomware i ogólnego modus operandi Coreid.

Reklama

„Ciągłe aktualizowanie i udoskonalanie operacji Noberusa pokazuje, że Coreid stale dostosowuje działanie oprogramowania ransomware, aby zapewnić jego maksymalną skuteczność” — napisał zespół firmy Symantec.

„FBI wydało ostrzeżenie w kwietniu 2022 r., mówiąc, że między listopadem 2021 a marcem 2022 r. co najmniej 60 organizacji na całym świecie został skompromitowany przez oprogramowanie ransomware Noberus – liczba ofiar jest prawdopodobnie wielokrotnością tej liczby”.

Nowa aktualizacja, która pojawiła się w czerwcu 2022 r., zawierała kompilację ARM do szyfrowania niestandardowych architektur i wprowadziła funkcję, która dodaje nową funkcję szyfrowania do kompilacji systemu Windows poprzez ponowne uruchomienie w trybie awaryjnym i trybie awaryjnym z obsługą sieci.

Zaktualizował także samą szafkę, dodając nową logikę restartu i upraszczając proces szyfrowania Linuksa. Dodatkowa aktualizacja w lipcu dodała indeksowanie skradzionych danych, dzięki czemu strony internetowe grupy, w których wyciekły dane, można przeszukiwać według parametrów, w tym słów kluczowych i typów plików.

Ale grupa nie poprzestała na tym. W sierpniu firma Symantec twierdzi, że zaobserwowała zaktualizowaną wersję narzędzia do eksfiltracji danych Exmatter używanego wraz z atakami ALPHV/BlackCat/Noberus – poprzednio używano go razem z oprogramowaniem ransomware BlackMatter, które ma na celu kradzież określonych typów plików z wybranych katalogów i przesłać je na serwer atakującego przed wdrożeniem oprogramowania ransomware.

Od tego lata Exmatter zawiera udoskonalenia typów kradniętych plików, dodanie funkcji protokołu przesyłania plików (FTP) oprócz SFTO i WebDav, możliwość tworzenia raportów zawierających przetworzone pliki, możliwość ich uszkodzenia oraz między innymi opcja samozniszczenia. Została ona również gruntownie przepisana, prawdopodobnie w celu uniknięcia wykrycia.

Jeden podmiot stowarzyszony ALPHV/BlackCat/Noberus również używał narzędzia wykradania informacji Eamfo do atakowania poświadczeń przechowywanych przez oprogramowanie do tworzenia kopii zapasowych Veeam — robi to, łącząc się z bazą danych Veeam SQL i wykonując określone zapytanie. używane przez LockBit oraz Yanluowang.

Ukierunkowanie firmy Veeam na kradzież poświadczeń to uznana technika, która przydaje się ze złośliwego punktu widzenia, ponieważ umożliwia eskalację uprawnień i przenoszenie na boki, a tym samym daje jeszcze jeden dostęp do danych do kradzieży i szyfrowania.

„Nie ma wątpliwości, że Coreid jest obecnie jednym z najbardziej niebezpiecznych i aktywnych twórców oprogramowania ransomware” — napisał zespół firmy Symantec.

„Grupa istnieje od 2012 roku i stała się znana z wykorzystywania swojego szkodliwego oprogramowania Carbanak do kradzieży pieniędzy z organizacji na całym świecie, przy czym preferowanymi celami są sektory bankowości, hotelarstwa i handlu detalicznego. Trzech członków grupy zostało aresztowanych w 2018 rokua w 2020 roku grupa zmieniła taktykę i uruchomiła operację ransomware jako usługa.

„Ciągły rozwój oprogramowania ransomware i programów partnerskich wskazuje, że ten wyrafinowany i dobrze wyposażony atakujący nie ma zamiaru nigdzie ruszyć w najbliższym czasie” – powiedzieli.



Source link

Advertisment

Więcej

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj

Advertisment

Podobne

Advertisment

Najnowsze

iOS 16.1 beta 3 jest już dostępny dla programistów, oto nowości

Tydzień po wydaniu iOS 16.1 beta 2 firma Apple udostępnia programistom wersję beta 3. Ta wersja zawiera ulepszenia wskaźnika ładowania baterii, funkcji...

Steam otrzyma coroczną wiosenną wyprzedaż

Valve wprowadza zmianę...

Płyty główne MSI Z790 i procesory Intel Core 13. generacji wylądowały

Firma MSI ogłasza dzisiaj, że zupełnie nowe procesory Intel Core 13. generacji przyniosą zupełnie nową serię płyt głównych z chipsetem Z790, w tym...
Advertisment

Chcesz być na bieżąco z najnowszymi wiadomościami?

Bardzo chcielibyśmy usłyszeć od Ciebie! Podaj swoje dane, a pozostaniemy w kontakcie. To takie proste!