Группа хакеров, стоящая за вымогательским вирусом BlackCat, недавно представила улучшенный вариант своего зловредного ПО, который приоритезирует скорость и скрытность, чтобы обойти защитные механизмы и достичь своих целей.
Новая версия, получившая название Sphynx, была анонсирована в феврале 2023 года, содержит “ряд обновленных возможностей, которые способствуют избежанию обнаружения”, – говорится в новом анализе IBM Security X-Force.
Обновление хакерского продукта было впервые отмечено VX-Underground в апреле 2023 года. А Trend Micro в прошлом месяце подробно описала версию Sphynx для Linux, которая “сосредоточена в первую очередь на процедуре шифрования”.
Группировка ALPHV/BlackCat , также известная как Noberus, в своё время разработала первый вымогательский вирус на базе языка Rust. Активный с ноября 2021 года, он превратился в серьезную угрозу, от которой пострадали более 350 целей по состоянию на май 2023 года.
Группа также известна тем, что использует схему двойного вымогательства, развертывая специальные инструменты для похищения данных, такие как ExMatter, для эксфильтрации конфиденциальных данных перед шифрованием.
Хакеры ALPHV/BlackCat получают первичный доступ к целевым сетям обычно через сторонних акторов, называемых брокерами первичного доступа (IAB), которые используют собственное вредоносное ПО для кражи легитимных учётных данных.
Свежая версия Sphynx от ALPHV/BlackCat содержит мусорный код и зашифрованные строки, а также перерабатывает аргументы командной строки, передаваемые двоичному файлу. Всё для избежания обнаружения.
Sphynx также включает отдельный загрузчик для расшифровки полезной нагрузки вымогательского вируса, который при выполнении ищет дополнительные сети для компрометации. В целом, вредонос действует по стандартной схеме: удаляет резервные копии данных на целевых устройствах, шифрует файлы и оставляет записку с выкупом.
Несмотря на кампании правоохранительных органов, направленных непосредственно на активность ALPHV/BlackCat, постоянная смена тактик является доказательством того, что группировка остаётся активной угрозой для организаций и не собирается завязывать с вредоносной деятельностью.
Буквально сегодня мы писали о недавних результатах исследования компании WithSecure, обнаружившей некую делегацию обязанностей между хакерскими группировками, позволяющую совершать более разрушительные атаки гораздо быстрее и эффективнее, нежели одна группировка бы занималась всей цепочкой атаки целиком.
Как видно, даже такая крупная и известная группа вымогателей не брезгует делить прибыль с другими злоумышленниками, на постоянной основе прибегая к услугам брокеров первичного доступа.