A variante Sphynx do BlackCat Ransomware foi recentemente identificada com recursos adicionais usados para criptografar contas de armazenamento do Azure. Esta variante Sphynx do BlackCat foi descoberta pela primeira vez em março e atualizada em maio, adicionando a ferramenta de exfiltração Exmatter.
Outra versão do Sphynx foi lançada em agosto, incluindo novos argumentos de linha de comando que podem substituir as credenciais dentro dos arquivos de configuração obtidos de sistemas comprometidos.
A Microsoft publicou um post em agosto que mencionava a inclusão do Impacket (para despejo de credenciais e execução remota de serviços) e das ferramentas Remcom. Além disso, também consistia em algumas credenciais comprometidas que são usadas para movimentação lateral e posterior implantação de ransomware.
“Esta versão do BlackCat também possui o hacktool Remcom incorporado no executável para execução remota de código. O arquivo também contém credenciais de alvo comprometidas codificadas que os atores usam para movimentação lateral e posterior implantação de ransomware.” lê o tópico da Microsoft sobre Twitter.
Agentes de ameaças acessam o portal do Azure
Os atores da ameaça poderiam roubar chaves do Azure acessando o portal do Azure do cliente. Essas chaves foram então codificadas em base64 e incorporadas ao binário do ransomware com execuções de linha de comando.
Um argumento -o foi incluído nos argumentos da linha de comando, que tem como alvo um nome de conta de armazenamento do Azure e uma chave de acesso; esse binário foi executado diversas vezes com 39 contas exclusivas do Armazenamento do Azure, resultando na criptografia delas com ransomware.
Documento
Durante esta operação, os agentes da ameaça usaram ferramentas como AnyDesk, SplashTop e Atera combinadas com o navegador Chrome para acessar a extensão do navegador do cofre LastPass. Além disso, os cibercriminosos também obtiveram OTP para acessar a conta Sophos Central para gerenciar outros produtos Sophos.
Após uma investigação mais aprofundada, descobriu-se que os agentes da ameaça alteraram as políticas de segurança e a proteção contra adulteração antes de criptografar os sistemas e as contas de armazenamento do Azure com IzBEIHCMxAuKmis6.exe com a extensão .zk09cvt.
Mudança notável
Denotando as mudanças mencionadas pela IBM, esta variante Sphynx do BlackCat não inclui o parâmetro -access-token, mas agora usa chaves como ‘-8UwUubTNYzygbQPJF -x_ -NI3_zn6Jr -U8Z -hedu5PO -CBJC7jzy -HFVmgW -DK3rdo’ e inclui um conjunto de argumentos mais complexos.
A Sophos fornece informação detalhada sobre o funcionamento, código fonte e indicadores de comprometimento desta variante do BlackCat.
É altamente recomendável que as organizações implementem e cumpram as precauções e medidas necessárias para prevenir e combater eficazmente a ocorrência de ataques de ransomware. Tais medidas proactivas e vigilantes podem reduzir significativamente o risco de consequências devastadoras que podem resultar destes ataques maliciosos.
Mantenha-se informado sobre as últimas notícias sobre segurança cibernética seguindo-nos no notícias do Google, Linkedin, Twittere Facebook.
