Η εγκληματική ομάδα BlackCat/ALPHV ransomware ξεκίνησε να χρησιμοποιεί ένα νέο εργαλείο με την ονομασία ‘Munchkin‘, το οποίο χρησιμοποιεί εικονικές μηχανές για να εγκαταστήσει encryptors σε συσκευές δικτύου απόκρυψης.

Δείτε επίσης: Alphv/BlackCat ransomware: Έκλεψε δεδομένα από το Morrison Community Hospital;

Το Manchkin επιτρέπει στη BlackCat να εκτελείται σε απομακρυσμένα συστήματα ή να κρυπτογραφεί απομακρυσμένα το Server Message Block (SMB) ή το Common Internet File (CIFS).

Η εισαγωγή του Munchkin στο ήδη εκτενές και προηγμένο οπλοστάσιο της BlackCat καθιστά το RaaS πιο ελκυστικό για τους κυβερνοεγκληματίες που αναζητούν να γίνουν συνεργάτες στην παραβίαση δεδομένων.

Η ομάδα Unit 42 της Palo Alto Networks ανακάλυψε ότι το νέο εργαλείο Munchkin της BlackCat είναι μια εξατομικευμένη διανομή του λειτουργικού συστήματος Alpine OS Linux, η οποία παρέχεται ως αρχείο ISO.

Μετά την παραβίαση μίας συσκευής, οι κακόβουλοι παράγοντες εγκαθιστούν το VirtualBox και δημιουργούν ένα νέο εικονικό μηχάνημα χρησιμοποιώντας το Munchkin ISO. Αυτή η εικονική μηχανή Munchkin περιλαμβάνει μια σειρά από σενάρια και εργαλεία που επιτρέπουν στους απειλητικούς παράγοντες να αντλήσουν κωδικούς πρόσβασης, να εξαπλωθούν πλευρικά στο δίκτυο, να δημιουργήσουν ένα κακόβουλο φορτίο κρυπτογράφησης BlackCat ‘Sphynx’ και να εκτελέσουν προγράμματα σε υπολογιστές του δικτύου.

Κατά την εκκίνηση, αλλάζει τον κωδικό root σε έναν που γνωρίζουν μόνο οι εισβολείς και χρησιμοποιεί το εργαλείο ‘tmux‘ για να εκτελέσει ένα κακόβουλο δυαδικό αρχείο βασισμένο σε Rust με το όνομα ‘controller‘ που αρχίζει να φορτώνει σενάρια που χρησιμοποιούνται στην επίθεση. Ο “controller” χρησιμοποιεί το συμπεριλαμβανόμενο αρχείο διαμόρφωσης, το οποίο παρέχει τα αναγνωριστικά πρόσβασης, τα διαπιστευτήρια των θυμάτων και τα μυστικά πιστοποίησης, καθώς και τις οδηγίες διαμόρφωσης, τους καταλόγους και τις λίστες αποκλεισμένων αρχείων και φακέλων, τις εργασίες που πρέπει να εκτελεστούν και τους κόμβους που πρέπει να επιτεθούν για κρυπτογράφηση.

Αυτή η διαμόρφωση χρησιμοποιείται για τη δημιουργία εξατομικευμένων εκτελέσιμων αρχείων BlackCat Encryptor στον φάκελο /payloads/. Στη συνέχεια, αυτά τα αρχεία αποστέλλονται σε απομακρυσμένες συσκευές για την κρυπτογράφηση αρχείων ή την κρυπτογράφηση κοινόχρηστων δικτύων SMB και CIFS.

Ένα κοινό πρόβλημα που επηρεάζει τα θύματα των κακόβουλων λογισμικών και τους κυβερνοεγκληματίες είναι ότι τα δείγματα συχνά διαρρέουν μέσω ιστότοπων ανάλυσης κακόβουλου λογισμικού. Η ανάλυση των δειγμάτων κακόβουλου λογισμικού επιτρέπει στους ερευνητές να έχουν πλήρη πρόσβαση στη συνομιλία διαπραγμάτευσης μεταξύ μιας συμμορίας κακόβουλου λογισμικού και του θύματος της.

Δείτε ακόμα: BlackCat ransomware: Ανέλαβε την ευθύνη για την επίθεση σε δικαστήρια της Φλόριντα

Για να αποτραπεί αυτό, οι συνεργαζόμενοι παρέχουν διαπραγματευτικά τεκμήρια πρόσβασης στον ιστότοπο της διαπραγμάτευσης Tor κατά την εκκίνηση. Έτσι, είναι αδύνατο να έχουν πρόσβαση στη συνομιλία διαπραγμάτευσης ενός θύματος, ακόμα κι αν έχουν πρόσβαση στο δείγμα που χρησιμοποιείται στην επίθεση.

Λόγω αυτού, οι επιτιθέμενοι προειδοποιούν τους συνεργάτες ότι πρέπει να διαγράψουν τις εικονικές μηχανές Munchkin και τα ISOs για να αποτρέψουν τη διαρροή αυτών των διαπιστευτηρίων πρόσβασης. Οι προγραμματιστές περιλαμβάνουν επίσης οδηγίες και συμβουλές για τη χρήση του ‘Controller’ για την παρακολούθηση της προόδου της επίθεσης και την εκκίνηση εργασιών.

Το Munchkin καθιστά ευκολότερο για τους συνεργάτες του BlackCat ransomware να εκτελούν διάφορες εργασίες, συμπεριλαμβανομένης της παράκαμψης λύσεων ασφαλείας που προστατεύουν τη συσκευή του θύματος. Αυτό συμβαίνει επειδή οι εικονικές μηχανές παρέχουν ένα επίπεδο απομόνωσης από το λειτουργικό σύστημα, καθιστώντας την ανίχνευση και την ανάλυση πιο προκλητικές για το λογισμικό ασφαλείας.

Επιπλέον, η επιλογή του λειτουργικού συστήματος Alpine εξασφαλίζει μια μικρή ψηφιακή αποτύπωση, ενώ οι αυτοματοποιημένες λειτουργίες του εργαλείου μειώνουν την ανάγκη για χειροκίνητες παρεμβάσεις και θόρυβο από τα feeds εντολών. Τέλος, η μεταβλητότητα του Munchkin, με μια ποικιλία από σενάρια Python, μοναδικές διαμορφώσεις, και τη δυνατότητα αντικατάστασης φορτίων όπως απαιτείται, καθιστά το εργαλείο εύκολο στην προσαρμογή για συγκεκριμένους στόχους ή εκστρατείες.

Δείτε επίσης: McLaren Health Care – Blackcat ransomware: Διαρροή δεδομένων ασθενών στο dark web;

Μια επίθεση από το BlackCat ransomware μπορεί να έχει σημαντικές επιπτώσεις στα προσβεβλημένα συστήματα. 

  1. Κρυπτογράφηση Αρχείων: Το BlackCat ransomware κρυπτογραφεί αρχεία και έγγραφα του χρήστη, καθιστώντας τα μη προσβάσιμα.
  2. Απώλεια Δεδομένων: Εάν ο χρήστης δεν μπορεί να αποκρυπτογραφήσει τα αρχεία του ή αν αδυνατεί να πληρώσει τα απαιτούμενα λύτρα, τα δεδομένα μπορούν να χαθούν για πάντα.
  3. Παρεμβολή στη Λειτουργία του Συστήματος: Το BlackCat ransomware μπορεί να προκαλέσει σοβαρούς περιορισμούς στη λειτουργία του συστήματος, επηρεάζοντας την απόδοσή του.
Συμβουλές για την Αντιμετώπιση του BlackCat Ransomware

Τα επαγγελματικά περιβάλλοντα και οι μεμονωμένοι χρήστες πρέπει να λαμβάνουν τα απαραίτητα μέτρα για την αποτροπή και την αντιμετώπιση των επιθέσεων από το BlackCat ransomware. 

  • Δημιουργήστε τακτικά αντίγραφα ασφαλείας των σημαντικών οργανωτικών δεδομένων και τηρείτε αυστηρές πολιτικές κατά τη διάρκεια της διαδικασίας.
  • Εγκαταστήστε ισχυρό λογισμικό ασφαλείας και διατηρήστε το πάντα ενημερωμένο, για την ανίχνευση και τον αποκλεισμό των κακόβουλων απειλών.
  • Ενημερωθείτε και ενημερώστε το προσωπικό σας για τις κοινές τακτικές των hackers.

Πηγή: bleepingcomputer