A gangue de ransomware BlackCat — também conhecida como ALPHV — agora usa contas roubadas da Microsoft e o criptografador Sphynx para encriptar o armazenamento em nuvem do Azure dos alvos. Ao investigar uma violação recente, a equipe de resposta a incidentes do Sophos X-Ops descobriu que os invasores usaram uma nova variante do Sphynx com suporte adicional para o uso de credenciais personalizadas.
Depois de obter acesso à conta do Sophos Central usando uma senha única (OTP) roubada, eles desativaram a proteção contra violação e modificaram as políticas de segurança. Essas ações foram possíveis após roubar a OTP do cofre LastPass da vítima usando a extensão LastPass Chrome.
Posteriormente, cibercriminosos criptografaram os sistemas cliente Sophos e o armazenamento remoto em nuvem do Azure e anexaram a extensão .zk09cvt em todos os arquivos bloqueados. No total, os operadores de ransomware conseguiram criptografar 39 contas de armazenamento do Azure com êxito.
Os hackers se infiltraram no portal do Azure da vítima usando uma chave roubada que forneceu acesso às contas de armazenamento de destino. As chaves usadas no ataque foram injetadas dentro do binário do ransomware depois de serem codificadas usando Base64. Os invasores também usaram várias ferramentas de monitoramento e gerenciamento remoto, como AnyDesk, Splashtop e Atera, durante toda a invasão.
A Sophos descobriu a variante Sphynx em março durante uma investigação sobre uma violação de dados que tinha semelhanças com outro ataque descrito em um relatório da IBM-Xforce publicado em maio — a ferramenta ExMatter foi usada para extrair os dados roubados em ambos os casos.
A Microsoft também descobriu no mês passado que o novo criptografador Sphynx está incorporando a ferramenta de hacking Remcom e a estrutura de rede Impacket para movimentação lateral em redes comprometidas.
Como uma operação de ransomware que surgiu em novembro de 2021, o BlackCat/ALPHV é suspeito de ser um rebranding do DarkSide/BlackMatter. Conhecido inicialmente como DarkSide, esse grupo atraiu atenção global após violar a Colonial Pipeline, que culminou em várias operações das agências internacionais de aplicação da lei.
Embora tenham sido rebatizados como BlackMatter em julho de 2021, as operações foram abruptamente interrompidas em novembro, quando as autoridades apreenderam seus servidores e a empresa de segurança Emsisoft desenvolveu uma ferramenta de descriptografia explorando uma vulnerabilidade no ransomware.
Veja isso
Gangue BlackCat assume autoria de hack à rede da japonesa Seiko
BlackCat cria API de vazamento em nova tática de extorsão
Essa gangue tem sido consistentemente reconhecida como uma das mais sofisticadas e de alto perfil de ransomware que visa empresas em escala global, adaptando e refinando continuamente suas táticas. Por exemplo, em uma nova abordagem de extorsão no ano passado, a gangue de ransomware usou um site dedicado à web para vazar os dados roubados de uma vítima específica, fornecendo aos clientes e funcionários da vítima os meios para determinar se seus dados haviam sido expostos.
Mais recentemente, o BlackCat introduziu uma API de vazamento de dados em julho projetada para agilizar a disseminação de dados roubados. Na semana passada, um dos grupos afiliados da gangue — rastreado como Scattered Spider — reivindicou o ataque a MGM Resorts, dizendo que criptografou mais de 100 hipervisores ESXi depois que a empresa derrubou sua infraestrutura interna e se recusou a negociar um pagamento de resgate.
