Il gruppo di cybercriminali noto come BlackCat (o ALPHV) ha intensificato le sue attività, utilizzando ora account Microsoft rubati e il recentemente scoperto criptatore Sphynx per colpire il servizio di archiviazione cloud Azure. Scopriamo insieme i dettagli di questa nuova minaccia alla sicurezza informatica.
Un attacco sofisticato e mirato
Durante un’indagine su una recente violazione, i risponditori agli incidenti di Sophos X-Ops hanno scoperto che gli aggressori hanno utilizzato una nuova variante di Sphynx, dotata di supporto per l’utilizzo di credenziali personalizzate. Dopo aver ottenuto l’accesso all’account Sophos Central utilizzando una password monouso (OTP) rubata, hanno disabilitato la protezione anti-manomissione e modificato le politiche di sicurezza. Queste azioni sono state possibili dopo aver rubato l’OTP dal vault LastPass della vittima, utilizzando l’estensione LastPass per Chrome.
Gli attaccanti hanno quindi criptato i sistemi del cliente Sophos e l’archiviazione cloud remota Azure, aggiungendo l’estensione .zk09cvt a tutti i file bloccati. In totale, gli operatori del ransomware sono riusciti a criptare con successo 39 account di archiviazione Azure. Hanno infiltrato il portale Azure della vittima utilizzando una chiave Azure rubata che forniva loro l’accesso agli account di archiviazione mirati. Le chiavi utilizzate nell’attacco sono state iniettate nel binario del ransomware dopo essere state codificate con Base64.
Un gruppo di cybercriminali in continua evoluzione
Il gruppo BlackCat, noto inizialmente come DarkSide, ha attirato l’attenzione globale dopo aver violato il Colonial Pipeline, subendo un immediato scrutinio da parte delle agenzie internazionali di law enforcement. Sebbene si siano ribattezzati come BlackMatter nel luglio 2021, le operazioni sono state interrotte bruscamente a novembre quando le autorità hanno sequestrato i loro server e la società di sicurezza Emsisoft ha sviluppato uno strumento di decrittazione sfruttando una vulnerabilità nel ransomware.
Questa banda è stata costantemente riconosciuta come una delle più sofisticate e di alto profilo che mira alle imprese su scala globale, adattando e perfezionando continuamente le sue tattiche. Ad esempio, hanno introdotto un nuovo approccio all’estorsione l’estate scorsa, utilizzando un sito web dedicato per divulgare i dati rubati di una vittima specifica, fornendo ai clienti e ai dipendenti della vittima i mezzi per determinare se i loro dati erano stati esposti.
Recentemente, BlackCat ha introdotto un API per la fuga di dati a luglio, progettata per semplificare la diffusione dei dati rubati. Questa settimana, uno degli affiliati della banda (noto come Scattered Spider) ha rivendicato l’attacco agli MGM Resorts, affermando di aver criptato oltre 100 hypervisor ESXi dopo che l’azienda ha disattivato la sua infrastruttura interna e rifiutato di negoziare un pagamento del riscatto.