Microsoft: BlackCat's Sphynx ransomware incrusta Impacket, RemCom

Microsoft ha descubierto una nueva versión del ransomware BlackCat que incorpora el marco de red Impacket y la herramienta de piratería Remcom, ambos permiten la propagación lateral a través de una red violada.

En abril, el investigador de ciberseguridad VX-Underground tuiteó sobre una nueva versión del cifrado BlackCat / ALPHV llamada Sphynx.

"Nos complace informarles que se han completado las pruebas de las características básicas ALPHV / BlackCat 2.0: Sphynx", dijeron los operadores de BlackCat en un mensaje a sus afiliados.

"El código, incluido el cifrado, ha sido completamente reescrito desde cero. De forma predeterminada, todos los archivos están congelados. La principal prioridad de esta actualización era optimizar la detección por AV / EDR ", explicó además las operaciones de ransomware.

Poco después, IBM Security X-Force realizó una inmersión profunda en el nuevo cifrado BlackCat, advirtiendo que el cifrado se convirtió en un kit de herramientas.

Esto se basaba en cadenas en el ejecutable que indicaban que contenía impacket, utilizado para funciones posteriores a la explotación, como la ejecución remota y el volcado de secretos de procesos.


El cifrador BlackCat Sphynx

En una serie de publicaciones de hoy, el equipo de Inteligencia de Amenazas de Microsoft dice que también analizaron la nueva versión de Sphynx y descubrieron que usaba el marco Impacket para propagarse lateralmente en redes comprometidas.

"Microsoft ha observado una nueva versión del ransomware BlackCat que se utiliza en campañas recientes", publicó Microsoft.

"Esta versión incluye la herramienta de marco de comunicación de código abierto Impacket, que los actores de amenazas utilizan para facilitar el movimiento lateral en entornos objetivo".

Impacket se describe como una colección de código abierto de clases de Python para trabajar con protocolos de red.

Sin embargo, es más comúnmente utilizado como un kit de herramientas posterior a la explotación por probadores de penetración, equipos rojos y actores de amenazas para propagarse lateralmente en una red, volcar credenciales de procesos, realizar ataques de retransmisión NTLM y mucho más.

Impacket se ha vuelto muy popular entre los actores de amenazas que violan un dispositivo en una red y luego usan el marco para obtener credenciales elevadas y obtener acceso a otros dispositivos.

Según Microsoft, la operación BlackCat está utilizando el marco Impacket para la duplicación de credenciales y la ejecución remota de servicios para implementar el cifrado en toda una red.

Además de Impacket, Microsoft dice que el cifrado incorpora la herramienta de piratería Remcom, que es un pequeño shell remoto que permite al cifrador ejecutar comandos de forma remota en otros dispositivos en una red.

En un aviso privado de Microsoft 365 Defender Threat Analytics visto por BleepingComputer, Microsoft dice que vieron este nuevo cifrado utilizado por el afiliado de BlackCat 'Storm-0875' desde julio de 2023.

Microsoft está identificando esta nueva versión como BlackCat 3.0, aunque, como dijimos anteriormente, la operación de ransomware lo llama 'Sphynx' o 'BlackCat/ALPHV 2.0' en las comunicaciones con afiliados.


Una pandilla de ransomware en constante evolución
BlackCat, también conocido como ALPHV, lanzó su operación en noviembre de 2021 y se cree que es un cambio de marca de la pandilla DarkSide / BlackMatter, que fue responsable del ataque a Colonial Pipeline.

La pandilla de ransomware siempre ha sido considerada una de las operaciones de ransomware más avanzadas y de primer nivel, evolucionando constantemente su operación con nuevas tácticas.

Por ejemplo, como una nueva táctica de extorsión el verano pasado, la pandilla de ransomware creó un sitio web claro dedicado a filtrar datos para una víctima en particular, para que los clientes y empleados pudieran verificar si sus datos estaban expuestos.

Más recientemente, los actores de amenazas crearon una API de fuga de datos, lo que permite una difusión más fácil de los datos robados.

Con el cifrado BlackCat evolucionando de un descifrador a un kit de herramientas de post-explotación completo, permite a los afiliados de ransomware implementar más rápidamente el cifrado de archivos en toda la red

Como es vital detectar los ataques de ransomware tan pronto como ocurren, agregar estas herramientas solo hace que sea más difícil para los defensores.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta