L’operazione di ransomware BlackCat/ALPHV ha iniziato ad utilizzare un nuovo strumento chiamato “Munchkin” che sfrutta macchine virtuali per distribuire cifratori su dispositivi di rete in modo furtivo. Questo strumento permette a BlackCat di funzionare su sistemi remoti o di cifrare condivisioni di rete SMB o CIFS. L’aggiunta di Munchkin all’arsenale di BlackCat lo rende ancora più attraente per i cybercriminali che desiderano diventare affiliati di ransomware.
Nascondersi in VirtualBox
Palo Alto Networks Unit 42 ha scoperto che il nuovo strumento Munchkin di BlackCat è una distribuzione Linux Alpine OS personalizzata fornita come file ISO. Dopo aver compromesso un dispositivo, gli attori della minaccia installano VirtualBox e creano una nuova macchina virtuale utilizzando l’ISO di Munchkin. Questa macchina virtuale include una serie di script e utility che permettono agli attori della minaccia di scaricare password, diffondersi lateralmente nella rete, creare un payload cifratore BlackCat “Sphynx” ed eseguire programmi su computer di rete.
Funzionalità e avvertenze di Munchkin
Munchkin facilita il lavoro degli affiliati del ransomware BlackCat, permettendo di eseguire varie attività, tra cui eludere le soluzioni di sicurezza che proteggono il dispositivo della vittima. Questo perché le macchine virtuali offrono un livello di isolamento dal sistema operativo, rendendo la rilevazione e l’analisi più complesse per il software di sicurezza. Inoltre, la scelta di Alpine OS garantisce un’impronta digitale ridotta, e le operazioni automatizzate dello strumento riducono la necessità di interventi manuali.
BlackCat continua a Evolversi
BlackCat è emerso alla fine del 2021 come un’operazione di ransomware basata su Rust, successore di BlackMatter e Darkside. Questo RaaS ha seguito una traiettoria di successo, introducendo regolarmente funzionalità avanzate, rendendolo uno degli attori più notevoli nel panorama del ransomware.