Исследователи из Palo Alto Networks Unit 42 обнаружили, что киберпреступная группировка ALPHV/BlackCat начала использовать новый инструмент под названием Munchkin, который использует виртуальные машины для скрытного развертывания шифровальщиков на сетевых устройствах. Munchkin позволяет BlackCat работать на удаленных системах или шифровать сетевые разделы SMB (Server Message Block) и CIFS (Common Internet File).
Добавление Munchkin к уже многочисленному и продвинутому арсеналу BlackCat делает RaaS (Ransomware-as-a-Service) более привлекательным для киберпреступников, желающих стать партнерами BlackCat по распространению вымогательского ПО.
Munchkin представляет собой настроенный дистрибутив Linux Alpine OS в формате ISO. После компрометации устройства хакеры устанавливают VirtualBox и создают новую виртуальную машину с использованием ISO-файла Munchkin. Созданная виртуальная машина Munchkin включает в себя набор скриптов и утилит, которые позволяют киберпреступникам собирать пароли, распространяться по сети, создавать шифровальщик BlackCat “Sphynx” и выполнять код на устройствах.
При загрузке машины пароль меняется на тот, который известен только атакующим, и с использованием утилиты tmux запускается основной модуль controller, который начинает загружать скрипты для атаки. Модуль controller использует встроенный файл конфигурации, который предоставляет токены доступа, учетные данные жертв, а также директивы конфигурации, черные списки папок и файлов, задачи для выполнения и целевые хосты для шифрования.
В коде вредоносного ПО Unit 42 обнаружил послание от авторов BlackCat к их партнерам, предупреждающее о необходимости удалить образ ISO с целевых систем из-за отсутствия шифрования конфигурации, чтобы избежать утечки образцов вредоносного ПО и переговоров между вымогателями и жертвой.
Munchkin упрощает выполнение различных задач для партнеров BlackCat, обходя средства защиты на устройстве жертвы. Виртуальные машины предоставляют уровень изоляции от операционной системы, что усложняет их обнаружение и анализ. Выбор Alpine OS гарантирует небольшой цифровой след, а автоматизированные операции снижают необходимость ручного вмешательства.
Модульность Munchkin, предлагающая различные скрипты на Python, уникальные конфигурации и возможность замены полезных нагрузок по мере необходимости, делает инструмент легко адаптируемым к конкретным целям или кампаниям.