Os atores de ameaças por trás do ransomware BlackCat criaram uma variante melhorada que prioriza a velocidade e o sigilo na tentativa de contornar as barreiras de segurança e alcançar seus objetivos.
A nova versão, apelidada de Sphynx e anunciada em fevereiro de 2023, traz "um número de capacidades atualizadas que fortalecem os esforços do grupo para evitar a detecção", disse a IBM Security X-Force em uma nova análise.
A atualização do "produto" foi destacada pela primeira vez pela vx-underground em abril de 2023.
A Trend Micro, no mês passado, detalhou uma versão Linux do Sphynx que está "concentrada principalmente em sua rotina de criptografia".
O BlackCat, também chamado de ALPHV e Noberus, é a primeira cepa de ransomware baseada na linguagem Rust detectada.
Ativo desde novembro de 2021, ele emergiu como um ator de ransomware formidável, vitimando mais de 350 alvos até maio de 2023.
O grupo, como outras ofertas de ransomware como serviço (RaaS), é conhecido por operar um esquema de dupla extorsão, implantando ferramentas personalizadas de exfiltração de dados como o ExMatter para sugar dados sensíveis antes da criptografia.
O acesso inicial às redes-alvo é geralmente obtido por meio de uma rede de atores chamados de corretores de acesso inicial (IABs), que empregam malware de roubo de informações prontos para uso para colher credenciais legítimas.
O BlackCat também foi observado compartilhando sobreposições com a família de ransomware BlackMatter, agora extinta, de acordo com a Cisco Talos e a Kaspersky.
Os achados fornecem uma janela para o ecossistema em constante evolução do cibercrime, no qual os atores de ameaças aprimoram suas ferramentas e habilidades para aumentar a probabilidade de um comprometimento bem-sucedido, sem mencionar frustrar a detecção e escapar da análise.
Especificamente, a versão Sphynx do BlackCat incorpora código de lixo e sequências criptografadas, além de retrabalhar os argumentos de linha de comando passados para o binário.
O Sphynx também incorpora um carregador para descriptografar o payload do ransomware que, ao ser executado, realiza atividades de descoberta de rede para caçar sistemas adicionais, exclui cópias de sombra de volume, criptografa arquivos e finalmente deixa a nota de resgate.
Apesar das campanhas da aplicação da lei contra o cibercrime e grupos de ransomware, a mudança contínua de táticas é prova de que o BlackCat continua sendo uma ameaça ativa às organizações e não tem "sinais de diminuir".
A empresa finlandesa de cibersegurança WithSecure, em uma pesquisa recente, descreveu como os rendimentos financeiros ilícitos associados aos ataques de ransomware levaram à "profissionalização do cibercrime" e ao surgimento de novos serviços de apoio subterrâneos.
"Muitos dos principais grupos de ransomware estão operando um modelo de prestador de serviços ou RaaS, onde fornecem ferramentas e expertise para afiliados, e, em troca, recebem uma parcela dos lucros", disse a empresa.
"Esses lucros impulsionaram o rápido desenvolvimento de uma indústria de serviços, fornecendo todas as ferramentas e serviços que um grupo de ameaças emergente poderia precisar, e graças à criptomoeda e aos serviços de roteamento da dark web, muitos grupos diferentes envolvidos podem comprar e vender serviços anonimamente e acessar seus lucros".
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...