BlackCat, uno dei principali ransomware osservati dall’IBM Security X-Force nel 2022, continua a seminare il panico nelle organizzazioni di tutto il mondo quest’anno. Le sue più recenti attività includono attacchi a organizzazioni nei settori sanitario, governativo, educativo, manifatturiero e dell’ospitalità.
Il Ransomware BlackCat: Da Dove Arriva il Terrore
Conosciuto come una delle operazioni di ransomware più formidabili e innovative da quando ha fatto il suo debutto nel novembre 2021, BlackCat è costantemente elencato tra i primi dieci gruppi di ransomware più attivi da diverse entità di ricerca. Nel 2022, gli affiliati di BlackCat sono stati collegati a tentativi di estorsione di entità in tutto il mondo in vari settori, tra cui educazione, governo ed energia.
Inoltre, nel 2022 BlackCat ha adottato il linguaggio di programmazione Rust, probabilmente per le opportunità di personalizzazione offerte dal linguaggio e come mezzo per ostacolare gli sforzi di rilevamento e analisi del malware. Dopo un anno e mezzo dalla sua entrata nel circuito criminale dei ransomware, il gruppo BlackCat non mostra segni di rallentamento.
Evoluzione Continua: Nuove Tattiche e Strumenti
Durante gli ultimi sei mesi, X-Force ha osservato diverse intrusioni da parte degli affiliati di BlackCat che dimostrano un miglioramento continuo dei loro strumenti e delle loro tecniche. Gli affiliati di BlackCat continuano a sfruttare la funzionalità degli oggetti di policy di gruppo, sia per distribuire strumenti sia per interferire con le misure di sicurezza.
Poiché BlackCat generalmente tenta di attuare uno schema di doppia estorsione, gli aggressori hanno anche distribuito strumenti sia per la crittografia dei dati sia per il loro furto. X-Force ha osservato gli aggressori sfruttare ExMatter, uno strumento di esfiltrazione dati .NET che è stato introdotto nel 2021 e ha ricevuto un aggiornamento sostanziale nell’agosto 2022.
Sphynx: La Nuova Versione di BlackCat
X-Force ha osservato e analizzato una nuova versione di BlackCat denominata Sphynx. Questa versione, annunciata per la prima volta nel febbraio 2023, introduce una serie di capacità aggiornate che rafforzano gli sforzi del gruppo per evitare il rilevamento.
Sphynx si distingue dalle varianti precedenti in modi notevoli. Ad esempio, gli argomenti della riga di comando sono stati rielaborati. Inoltre, i dati di configurazione non sono formattati in JSON, ma in strutture raw. I campioni aggiornati contengono codice inutile e migliaia di stringhe criptate che ostacolano l’analisi statica.