A gangue de ransomware BlackCat (ALPHV) agora usa contas da Microsoft roubadas e o recentemente identificado criptografador Sphynx para criptografar os armazenamentos em nuvem Azure dos alvos.
Enquanto investigavam uma recente violação, os respondedores de incidentes da Sophos X-Ops descobriram que os atacantes utilizaram uma nova variante do Sphynx com suporte adicional para o uso de credenciais personalizadas.
Depois de obterem acesso à conta Sophos Central usando uma Senha de Uso Único (OTP) roubada, eles desabilitaram a Proteção contra Adulteração e modificaram as políticas de segurança.
Essas ações foram possíveis após roubar a OTP do cofre do LastPass da vítima, usando a extensão LastPass do Chrome.
Em seguida, eles criptografaram os sistemas do cliente da Sophos e o armazenamento em nuvem Azure remoto e acrescentaram a extensão .zk09cvt a todos os arquivos bloqueados.
No total, os operadores do ransomware conseguiram criptografar com sucesso 39 contas de Armazenamento Azure.
Eles infiltraram-se no portal Azure da vítima usando uma chave Azure roubada que lhes proporcionou acesso às contas de armazenamento visadas.
As chaves usadas no ataque foram injetadas dentro do binário do ransomware após serem codificadas usando Base64.
Os atacantes também utilizaram várias ferramentas de Monitoramento e Gerenciamento Remoto (RMM), como AnyDesk, Splashtop, e Atera ao longo da intrusão.
A Sophos descobriu a variante Sphynx em março de 2023 durante uma investigação sobre uma violação de dados que compartilhava semelhanças com outro ataque descrito em um relatório da IBM-Xforce publicado em maio (a ferramenta ExMatter foi usada para extrair os dados roubados em ambas as ocasiões).
A Microsoft também descobriu no mês passado que o novo criptografador Sphynx está incorporando a ferramenta de hacking Remcom e a estrutura de rede Impacket para o movimento lateral em redes comprometidas.
Como uma operação de ransomware que surgiu em novembro de 2021, a BlackCat/ALPHV suspeita-se que seja um rebranding da DarkSide/BlackMatter.
Inicialmente conhecido como DarkSide, este grupo chamou a atenção mundial após violar a Colonial Pipeline, atraindo imediatamente o escrutínio de agências internacionais de aplicação da lei.
Embora tenham se transformado em BlackMatter em julho de 2021, as operações foram abruptamente interrompidas em novembro, quando as autoridades apreenderam seus servidores e a empresa de segurança Emsisoft desenvolveu uma ferramenta de decifração explorando uma vulnerabilidade no ransomware.
Esta gangue tem sido consistentemente reconhecida como uma das mais sofisticadas e de alto perfil no mundo do ransomware, visando empresas em escala global, adaptando e refinando continuamente suas táticas.
Por exemplo, em uma nova abordagem de extorsão no último verão, a gangue de ransomware utilizou um site na web clara dedicado para vazar os dados roubados de uma vítima específica, fornecendo aos clientes e funcionários da vítima os meios para determinar se seus dados haviam sido expostos.
Mais recentemente, a BlackCat introduziu uma API de vazamento de dados em julho, projetada para agilizar a disseminação de dados roubados.
Esta semana, uma das afiliadas da gangue (rastreada como Scattered Spider) reivindicou o ataque ao MGM Resorts, dizendo que criptografaram mais de 100 hipervisores ESXi depois que a empresa derrubou sua infraestrutura interna e se recusou a negociar o pagamento do resgate.
Em abril passado, o FBI emitiu um alerta destacando que o grupo estava por trás das violações bem-sucedidas de mais de 60 entidades em todo o mundo entre novembro de 2021 e março de 2022.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...