I ricercatori di Kasperky hanno scoperto importanti dettagli riguardanti due cyber attacchi portati a termine recentemente dal gruppo di criminali informatici ransomware BlackCat. I nuovi dettagli venuti a galla hanno rivelato che il gruppo ransomware BlackCat ha utilizzato tecniche e strumenti precedentemente utilizzati da altri gruppi ransomware come BlackMatter e REvil, vediamo più nel dettaglio quali sono stati questi due eventi:
- Il primo caso analizzato da Kaspersky è stato un attacco rivolto ad un provider di soluzioni ERP (enterprise resource planning) vulnerabile, situato in Medio Oriente e ospitante più siti. Gli attaccanti hanno rilasciato, simultaneamente, due diversi file eseguibili all’interno dello stesso server fisico, riuscendo così a colpire due diverse organizzazioni che il server ospitava virtualmente. Sebbene il gruppo abbia confuso il server infetto come due diversi sistemi fisici, gli attaccanti hanno lasciato tracce importanti che hanno aiutato a determinare lo stile operativo di BlackCat. I ricercatori di Kaspersky hanno determinato che il gruppo sfrutta le vulnerabilità degli asset condivisi tra risorse cloud, ma oltre a questo in questo caso, il gruppo ha anche rilasciato un file batch Mimikatz, insieme a file eseguibili e utility di recupero password di rete Nirsoft. Il collegamento con precedenti gruppi ransomware è stato scoperto dagli esperti perchè un incidente simile ebbe luogo nel 2019 quando REvil, predecessore di BlackMatter, riuscì a penetrare all’interno di un cloud service che supporta un gran numero di studi dentistici negli Stati Uniti.
- Il secondo caso coinvolge una società di petrolio, gas, miniere e costruzioni situata in Sud America, e rivela il collegamento tra BlackCat e l’attività del ransomware BlackMatter. L’affiliato che si celava dietro questo attacco ransomware ha tentato non solo di rilasciare il ransomware BlackCat all’interno della rete bersagliata, ma avrebbe anche installato un programma di esfiltrazione modificato e personalizzato, chiamato “Fendr”. Questa utility, nota anche con il nome di ExMatter, era stata già precedentemente utilizzata come tratto distintivo dell’attività malware di BlackMatter.
“Dopo l’uscita di scena di REvil e BlackMatter, era solo questione di tempo prima che un altro gruppo ransomware prendesse il controllo di questa nicchia… analizzando questi incidenti, siamo riusciti ad evidenziarne le caratteristiche principali, gli strumenti e le tecniche di cui si serve BlackCat per penetrare all’interno delle reti delle vittime. Tutto ciò ci permette di proteggere i nostri utenti da minacce conosciute e sconosciute. Chiediamo alla community di cybersicurezza di unire le forze per lavorare insieme contro nuovi gruppi di cybercriminali, garantendo così un futuro più sicuro”.
Dmitry Galov, security researcher del Global Research and Analysis Team (GReAT) di Kaspersky,
Il gruppo ransomware BlackCat, secondo gli esperti dopo aver completato l’analisi di questi due attacchi, punta sulla quasi certezza che potrebbe avere legami diretti con BlackMatter, grazie ai quali ha usufruito di alcune tecnologie precedentemente utilizzate e si è aggiornato per rendere gli attacchi ancor più pericolosi, inoltre il nuovo gruppo attivo almeno da dicembre 2021 ha un’efficacia molto alta nei suoi attacchi grazie alla particolarità di utilizzare un malware scritto con il linguaggio di programmazione Rust. Grazie a capacità specifiche di questo linguaggio di programmazione, BlackCat riesce a colpire con successo sia sistemi Windows che Linux.