.
Aqui está um alerta. Outra versão do ransomware BlackCat foi flagrada extorquindo vítimas. Essa variante incorpora duas ferramentas: o kit de ferramentas de rede Impacket para movimentação lateral em ambientes comprometidos e o Remcom para execução remota de código.
BlackCat, também conhecido como AlphaV, é uma notória equipe de ransomware cujos afiliados recentemente comprometeram hospitais e clínicas médicas, roubandStrong The Ones médicos e exigindo um resgate para manter essas informações em sigilo. Muitas dessas organizações de saúde preferem pagar do que enfrentar processos de pacientes quando seus arquivos protegidos vazam ou são vendidos online por extorsionários por falta de pagamento.
O malware BlackCat funciona em Windows e Linux e é alugado para criminosos, que invadem alvos e executam o malware de roubo de dados, tornando-o uma operação de ransomware como serviço. Sob esse modelo de negócios, os afiliados pagam para usar o malware desenvolvido pelos operadores em seus ataques e, em seguida, os afiliados recebem uma parte dos lucros se as vítimas pagarem os resgates.
Para os afiliados da BlackCat, isso se traduz entre 80 e 90 por cento do valor pago, somos informados.
Essa operação de extorsão em particular foi vista pela primeira vez no submundo do crime em 2021 e foi notável porque foi uma das primeiras variedades de ransomware a ser escrita em Ferrugem. Desde então, foi atualizado, com as operadoras adicionando recursos e melhorias.
E em uma série de postagens de mídia social na quinta-feira, a equipe do Microsoft Threat Intelligence disse que detectou uma nova versão sendo usada por uma afiliada da BlackCat em julho.
Parece que a versão que Redmond analisou é a versão Sphynx do ransomware BlackCat que os cabeças de ovo em IBM Security X-Force e VX-Underground tenho alertado desde a primavera.
VX-U está confiante a cepa BlackCat que ela sinalizou em abril é a mesma sobre a qual o titã Azure está falando agora.
Empacket + Remcom
A nova versão, segundo a Microsoft, utiliza o Impacket, um disponível gratuitamente coleção de código Python para trabalhar com protocolos de rede.
Essa ferramenta permite que criminosos se movam lateralmente pela rede e “possui módulos de despejo de credenciais e execução de serviço remoto que podem ser usados para ampla implantação do ransomware BlackCat em ambientes de destino”, disse a gigante do Windows.
Além disso, esta versão do BlackCat também possui Remcomque permite que os invasores executem código e copiem arquivos em sistemas remotos, incorporados ao executável, nos disseram.
“O arquivo também contém credenciais de alvo comprometidas codificadas que os atores usam para movimentação lateral e posterior implantação de ransomware”.
Embora a Microsoft não diga quais invasões de julho usaram esta nova versão do BlackCat, um dos afiliados da gangue invadiu Barts Health NHS Trustum dos maiores grupos hospitalares do Reino Unido, naquele mês.
Essa infecção seguiu uma em junho na Califórnia Cirurgia Plástica em Beverly Hillsdurante o qual os bandidos alegaram roubar informações pessoais e registros de saúde, “incluindo muitas fotos de pacientes que eles teriam [sic] não quero lá fora.” ®
.
