Microsoft, BlackCat Fidye Yazılımının Yeni Bir Sürümünü Keşfetti

Microsoft, BlackCat fidye yazılımının yeni bir sürümünü keşfetti. Bu sürüm, ağ protokollerini manipüle etmek için Impacket ağ çerçevesini ve ağ üzerindeki başka cihazlarda komut çalıştırmak için Remcom adlı bir hackleme aracını içeriyor. Bu özellikler, fidye yazılımının ağlara daha hızlı yayılmasını ve etkisini artırmasını sağlıyor.

Nisan ayında, siber güvenlik araştırmacısı VX-Underground, BlackCat/ALPHV fidye yazılımının Sphynx adında yeni bir şifreleyici sürümünü duyurdu. BlackCat operatörleri, bu yeni sürümün temel özelliklerinin testlerinin tamamlandığını açıkladı. Yeni sürümün kodunun sıfırdan yeniden yazıldığını ve bu güncellemeyle AV/EDR algılamasının optimize edildiğini belirtti.

IBM Security X-Force, yeni BlackCat şifreleyicisini detaylı bir şekilde inceledi ve şifreleyicinin bir araç setine evrildiği konusunda uyardı. Bu sonuç, uygulama içindeki dizelerin işlem sırlarının dökülmesi ve uzaktan komut çalıştırma gibi sonrası sömürü işlevleri için Impacket içerdiğine işaret etmesine dayanıyordu.

Microsoft’un Tehdit İstihbarat ekibi, yeni Sphynx sürümünü analiz etti ve bu sürümün ağ protokollerini manipüle etmek için açık kaynaklı bir Python sınıfı koleksiyonu olan Impacket çerçevesini kullandığını buldu. Ayrıca, BlackCat operasyonunun, şifreleyiciyi bir ağ üzerinde yaymak için Impacket çerçevesini kimlik bilgisi çalma ve uzaktan hizmet yürütme için kullandığını belirtti.

Ayrıca, Microsoft, bu şifreleyicinin Remcom adlı bir hackleme aracını da içerdiğini belirtti. Remcom, ağdaki diğer cihazlarda komutları uzaktan çalıştırmayı sağlayan küçük bir uzaktan kabuktur.

Microsoft, bu yeni şifreleyici sürümünün Temmuz 2023’ten bu yana BlackCat bağlantılı ‘Storm-0875’ tarafından kullanıldığını belirtti. Microsoft, bu yeni sürümü BlackCat 3.0 olarak adlandırıyor, ancak fidye yazılımı operasyonu, bu sürümü iletişimlerinde ‘Sphynx’ veya ‘BlackCat/ALPHV 2.0’ olarak adlandırıyor.

BlackCat, aka ALPHV, Kasım 2021’de operasyonuna başladı ve DarkSide/BlackMatter çetesinin yeniden markalanmış bir sürümü olduğuna inanılıyor. BlackCat, sürekli olarak operasyonunu yeni taktiklerle geliştiren en ileri ve üst düzey fidye yazılım operasyonlarından biri olarak kabul edilmektedir.

BlackCat şifreleyicisinin bir şifre çözücüden tam teşekküllü bir sonrası sömürü araç setine evrilmesi, fidye yazılımının ağ üzerinde daha hızlı dosya şifrelemesini sağlar. Bu tür araçların eklenmesi, fidye yazılımı saldırılarının hızla tespit edilmesini zorlaştırır, bu da savunucular için zorluklar yaratır.

Exit mobile version