Η λειτουργία ransomware BlackCat/ALPHV έχει αρχίσει να χρησιμοποιεί ένα νέο εργαλείο που ονομάζεται «Munchkin» που χρησιμοποιεί εικονικές μηχανές για την ανάπτυξη
κρυπτο
γραφητών σε
συσκευές
δικτύου κρυφά.
Το Manchkin επιτρέπει στο BlackCat να εκτελείται σε απομακρυσμένα συστήματα ή να κρυπτογραφεί απομακρυσμένα κοινόχρηστα στοιχεία δικτύου Μπλοκ μηνυμάτων διακομιστή (SMB) ή Common Internet File (CIFS).
Η εισαγωγή του Munchkin στο ήδη εκτεταμένο και προηγμένο οπλοστάσιο της BlackCat κάνει το RaaS πιο ελκυστικό για τους εγκληματίες του κυβερνοχώρου που επιδιώκουν να γίνουν θυγατρικοί ransomware.
Απόκρυψη στο VirtualBox
Palo Alto Networks Unit 42
έχει ανακαλύψει
ότι το νέο εργαλείο Munchkin της BlackCat είναι μια προσαρμοσμένη διανομή Alpine OS Linux που διατίθεται ως αρχείο ISO.
Αφού θέσουν σε κίνδυνο μια συσκευή, οι παράγοντες απειλών εγκαθιστούν το VirtualBox και δημιουργούν μια νέα εικονική μηχανή χρησιμοποιώντας το Munchkin ISO.
Αυτή η εικονική μηχανή Munchkin περιλαμβάνει μια σουίτα σεναρίων και βοηθητικών προγραμμάτων που επιτρέπουν στους παράγοντες απειλής να απορρίπτουν κωδικούς πρόσβασης, να εξαπλώνονται πλευρικά στο δίκτυο, να δημιουργούν ένα ωφέλιμο φορτίο κρυπτογράφησης BlackCat «Sphynx» και να εκτελούν προγράμματα σε υπολογιστές δικτύου.
Κατά την εκκίνηση, αλλάζει τον κωδικό πρόσβασης root σε έναν γνωστό μόνο από τους εισβολείς και αξιοποιεί το βοηθητικό πρόγραμμα «tmux» για να εκτελέσει ένα δυαδικό
κακόβουλο λογισμικό
που βασίζεται σε Rust με το όνομα «controller» που αρχίζει να φορτώνει τα σενάρια που χρησιμοποιούνται στην επίθεση.
Αυτά τα σενάρια παρατίθενται παρακάτω:
Δομή του συστήματος αρχείων της εικόνας
Πηγή: Ενότητα 42
Ο «ελεγκτής» χρησιμοποιεί το ομαδοποιημένο αρχείο διαμόρφωσης, το οποίο παρέχει διακριτικά πρόσβασης, διαπιστευτήρια θυμάτων και μυστικά ελέγχου ταυτότητας, καθώς και οδηγίες διαμόρφωσης, λίστες αποκλεισμού φακέλων και αρχείων, εργασίες προς εκτέλεση και κεντρικούς υπολογιστές για στόχευση για κρυπτογράφηση.
Αυτή η ρύθμιση παραμέτρων χρησιμοποιείται για τη δημιουργία προσαρμοσμένων εκτελέσιμων αρχείων κρυπτογράφησης BlackCat στον κατάλογο /payloads/, τα οποία στη συνέχεια προωθούνται σε απομακρυσμένες συσκευές για κρυπτογράφηση αρχείων ή κρυπτογράφηση κοινόχρηστων στοιχείων δικτύου SMB και CIFS.
Διάγραμμα επίθεσης Munchkin
Πηγή: Ενότητα 42
Η Μονάδα 42 ανακάλυψε ένα μήνυμα στον κώδικα του κακόβουλου λογισμικού από τους δημιουργούς του BlackCat προς τους συνεργάτες τους, προειδοποιώντας να μην αφήσουν το ISO στα συστήματα-στόχους λόγω της έλλειψης κρυπτογράφησης για τη διαμόρφωση, τονίζοντας ιδιαίτερα τον κίνδυνο
διαρροή
ς του διακριτικού πρόσβασης συνομιλίας.
Ένα κοινό πρόβλημα που επηρεάζει τα θύματα ransomware και τους εγκληματίες του κυβερνοχώρου είναι ότι τα δείγματα συνήθως διαρρέουν μέσω ιστότοπων ανάλυσης κακόβουλου λογισμικού. Η ανάλυση των δειγμάτων ransomware επιτρέπει στους ερευνητές να αποκτήσουν πλήρη πρόσβαση στη συνομιλία διαπραγμάτευσης μεταξύ μιας συμμορίας ransomware και του θύματός της.
Για να αποφευχθεί αυτό, οι συνδεδεμένες εταιρείες παρέχουν διακριτικά πρόσβασης στον ιστότοπο διαπραγμάτευσης Tor κατά το χρόνο εκτέλεσης κατά την εκκίνηση. Επομένως, είναι αδύνατο να αποκτήσετε πρόσβαση στη συνομιλία διαπραγμάτευσης ενός θύματος, ακόμα κι αν έχει πρόσβαση στο δείγμα που χρησιμοποιήθηκε στην επίθεση.
Εξαιτίας αυτού, οι φορείς απειλών προειδοποιούν τις θυγατρικές ότι πρέπει να διαγράψουν τις εικονικές μηχανές Munchkin και τα ISO για να αποτρέψουν τη διαρροή αυτών των διακριτικών πρόσβασης.
Οι προγραμματιστές περιλαμβάνουν επίσης οδηγίες και συμβουλές σχετικά με τη χρήση του “Controller” για την παρακολούθηση της προόδου της επίθεσης και την εκκίνηση εργασιών.
Σημείωση που περιέχεται στο κακόβουλο λογισμικό
Πηγή: Ενότητα 42
Το Munchkin διευκολύνει τις θυγατρικές ransomware της BlackCat να εκτελούν διάφορες εργασίες, συμπεριλαμβανομένης της παράκαμψης λύσεων ασφαλείας που προστατεύουν τη συσκευή του θύματος. Αυτό συμβαίνει επειδή οι εικονικές μηχανές παρέχουν ένα επίπεδο απομόνωσης από το λειτουργικό σύστημα, καθιστώντας την ανίχνευση και την ανάλυση πιο προκλητική για το λογισμικό ασφαλείας.
Επιπλέον
, η επιλογή του Alpine OS εξασφαλίζει μικρό ψηφιακό αποτύπωμα και οι αυτοματοποιημένες λειτουργίες του εργαλείου μειώνουν την ανάγκη για χειροκίνητες παρεμβάσεις και θόρυβο από τροφοδοσίες εντολών.
Τέλος, το modularity του Munchkin, το οποίο διαθέτει μια ποικιλία σεναρίων Python, μοναδικές διαμορφώσεις και τη δυνατότητα εναλλαγής ωφέλιμων φορτίων όπως απαιτείται, καθιστά το εργαλείο εύκολη προσαρμογή σε συγκεκριμένους στόχους ή καμπάνιες.
Η BlackCat εξακολουθεί να εξελίσσεται
Το BlackCat εμφανίστηκε στα τέλη του 2021 ως μια εξελιγμένη λειτουργία ransomware που βασίζεται σε Rust ως διάδοχος του BlackMatter και του Darkside.
Το RaaS ακολούθησε μια επιτυχημένη τροχιά μέχρι στιγμής, εισάγοντας τακτικά προηγμένα χαρακτηριστικά όπως διαλείπουσα κρυπτογράφηση υψηλής διαμόρφωσης, API διαρροής δεδομένων, ενσωμάτωση Impacket και Remcom, κρυπτογραφητές με υποστήριξη προσαρμοσμένων διαπιστευτηρίων, υπογεγραμμένα προγράμματα οδήγησης πυρήνα και αναβαθμίσεις στο εργαλείο εξαγωγής δεδομένων.
Σημαντικά θύματα BlackCat το 2023 περιλαμβάνουν το Florida Circuit Court, MGM Resorts, Motel One, Seiko, Estee Lauder, HWL Ebsworth, Western Digital και Constellation Software.
VIA:
bleepingcomputer.com