Il ransomware BlackCat si evolve con due nuove funzioni che potenziano movimenti laterali ed esecuzione di codice da remoto.
Autore: Redazione SecurityOpenLab
Il temibile ransomware BlackCat dispone di due nuovi strumenti: il toolkit di rete Impacket per i movimenti laterali all'interno delle reti compromesse, e Remcom per l'esecuzione di codice da remoto. A individuare queste due novità sono stati i ricercatori del Microsoft Threat Intelligence, che potrebbero avere messo mano sulla versione Sphynx del ransomware segnalata in primavera dagli esperti di IBM Security X-Force e di VX-Underground.
Stiamo parlando di una delle maggiori minacce in circolazione, soprattutto per il settore Healthcare. BlackCat, noto anche come AlphaV, è un Ransomware-as-a-Service attivo almeno dal 2021 che può essere impiegato per attaccare sia sistemi Windows che Linux e viene ceduto agli affiliati a cui sembrerebbe riconosciuto un incasso tra l'80 e il 90% del riscatto pagato dalle vittime. Al momento della sua scoperta fu ritenuto un prodotto rivoluzionario perché fu fra i primi ad essere compilato in linguaggio Rust.
Come spesso accade, gli operatori hanno via via aggiornato il codice per aggiungere funzionalità e miglioramenti. La scoperta di Microsoft di configura quindi come l’ennesima evoluzione. Impacket è una raccolta liberamente disponibile di codice Python per lavorare sui protocolli di rete. Applicato al ransomware serve per spostarsi lateralmente attraverso la rete. Include funzioni di dumping delle credenziali e servizi RDP che consentono la distribuzione capillare del ransomware negli ambienti target.
Remcom, invece, consente di eseguire codice da remoto e di copiare file su sistemi remoti. Nel codice sono direttamente integrate le credenziali compromesse che i cyber criminali sfruttano per il movimento laterale e per l'ulteriore distribuzione di ransomware.