El ransomware BlackCat (también conocido como ALPHV y Noberus) continúa trabajando en la evolución de su herramienta de exfiltración de datos utilizada para ataques de extorsión dual.
LEA TAMBIÉN: Ransomware en 2022: ¿Qué esperar?
BlackCat se considera un sucesor de Darkside y BlackMatter y es una de las operaciones de Ransomware-as-a-Service (RaaS) más sofisticadas y técnicamente avanzadas. En un nuevo informe , los investigadores de Symantec afirman:
Entre algunos de los desarrollos más notables está el uso de una nueva versión de la herramienta de exfiltración de datos Exmatter y el uso de Eamfo, un malware que roba información diseñado para recolectar las credenciales almacenadas por el software de respaldo de Veeam.
En la nueva versión de Exmatter, además de recolectar archivos con solo un conjunto específico de extensiones, la versión reformulada genera un informe de todos los archivos procesados y los corrompe más tarde. Según el sitio web de BleepingComputer , las principales mejoras fueron:
Selección de tipos de archivos para ser exfiltrados a: PDF, DOC, DOCX, XLS, PNG, JPG, JPEG, TXT, BMP, RDP, SQL, MSG, PST, ZIP, RTF, IPT y DWG.
FTP como opción de exfiltración además de SFTP y WebDav.
Opción de oferta para crear un informe que enumere todos los archivos procesados
La función "Borrador" que ofrece la opción de corromper los archivos procesados
Opción de configuración de "autodestrucción" para salir y eliminarse si se ejecuta en entornos no válidos.
Eliminando el soporte para Socks5
Opción para implementar GPO
LEA TAMBIÉN: Ransomware: Guía de prevención y respuesta para CISO
Además de las funciones ampliadas, la última versión de Exmatter se sometió a una importante refactorización de código, implementando funciones existentes de una manera que evade la detección. Los investigadores agregan:
Su desarrollo continuo también destaca el enfoque del grupo en el robo y la extorsión de datos, y la importancia de este elemento de los ataques para los actores de ransomware.
También se ha visto recientemente a BlackCat usando el malware Emotet como un vector de infección inicial, y también ha visto una afluencia de nuevos miembros del ahora desaparecido grupo de ransomware Conti.
Conte com a International IT para proteger sua empresa de ataques cibernéticos com o que há de melhor no mercado.
Descubra nuestras soluciones avanzadas, robustas y seguras NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoreo de Red, Transferencia de Archivos Gerenciados, Consultoria de TIC, Entrenamentos, Soporte de Aplicaciones, Outsourcing, Licencias Generales e Help Desk.
