Microsoft Threat Intelligence, il braccio di cybersecurity dell’azienda, ha recentemente annunciato la scoperta di una nuova variante del famigerato ransomware BlackCat. Questa nuova versione presenta due nuove aggiunte che aiutano gli operatori del ransomware a muoversi lateralmente attraverso le reti compromesse.
Nuove funzionalità nel ransomware BlackCat
La nuova variante del ransomware BlackCat integra due strumenti: il framework di comunicazione open-source Impacket e lo strumento di hacking Remcom. Impacket è descritto come una collezione open-source di classi Python per lavorare con protocolli di rete, utilizzato come toolkit post-sfruttamento da pentesters, red teamers e cybercriminali. Questo strumento permette loro di muoversi lateralmente attraverso la rete, estrarre credenziali dai processi, eseguire attacchi di relay NTLM e altro. Nel contesto di BlackCat, Impacket viene utilizzato per estrarre credenziali ed eseguire il codice di cifratura in remoto. Lo strumento di hacking Remcom, invece, viene utilizzato per l’esecuzione di codice remoto e il movimento laterale, facilitando entrambi la distribuzione del cifratore.
Altre scoperte sulla nuova variante
Microsoft non sembra essere la prima azienda ad aver scoperto questa versione aggiornata di BlackCat. BleepingComputer ha riferito che VX-Underground ne aveva parlato già in aprile di quest’anno. Citando un messaggio inviato dagli operatori di BlackCat ai suoi affiliati, la pubblicazione ha rivelato che la nuova versione viene chiamata Sphynx. Questa nuova variante ha visto una riscrittura completa del codice, inclusa la cifratura. L’obiettivo principale di questo aggiornamento era ottimizzare la rilevazione da parte di AV/EDR. BleepingComputer ha anche avuto accesso a un avviso privato di Microsoft 365 Defender Threat Analytics, in cui Microsoft ha dichiarato che Storm-0875 ha iniziato ad utilizzare Sphynx a luglio di quest’anno.
Storia e impatto di BlackCat
BlackCat, noto anche come ALPHV, è stato lanciato per la prima volta nel novembre 2021 ed è considerato uno dei ransomware più popolari e distruttivi in circolazione. Di recente, BlackCat è stato responsabile di un attacco contro Reddit, uno dei più grandi forum online.