BlackCat ransomware’s
data exfiltration tool gets an upgrade
23 กันยายน 2565
BlackCat ถือเป็นผู้สืบทอดต่อจาก Darkside และ BlackMatter ในการดำเนินการ Ransomware-as-a-service (RaaS) ที่ล้ำสมัยที่สุด
จากรายงานของนักวิจัยจาก Symantec พบว่าผู้พัฒนา BlackCat สายพันธุ์แรกที่ใช้ใน Rust-based ได้มีการปรับปรุง และพัฒนาอย่างต่อเนื่องด้วยคุณสมบัติใหม่ ในเรื่องของเครื่องมือที่ใช้กรองข้อมูลจากระบบที่ถูกบุกรุก โดยใช้ชื่อว่า “Exmatter” และได้ถูกใช้ตั้งแต่มีการเปิดตัว BlackCat ในช่วงเดือนพฤศจิกายน 2564 และได้รับการอัพเดทเวอร์ชั่นใหม่ในเดือนสิงหาคม 2565 ที่ผ่านมาดังรายการต่อไปนี้
นอกเหนือจากนี้ในเวอร์ชั่นล่าสุดของ Exmatter ได้การจัดองค์ประกอบ และโครงสร้างภายในของซอฟต์แวร์ใหม่รวมถึงการใช้งานโค้ดจำนวนมาก (Refactoring) เพื่อหลีกเลี่ยงการตรวจจับ
เพื่อเพิ่มความสามารถในการทำงาน (ขโมยข้อมูล) ให้มีประสิทธิภาพมากยิ่งขึ้น BlackCat ได้มีการปรับใช้มัลแวร์ใหม่ที่มีชื่อเรียกว่า “Eamfo” ซึ่งกำหนดเป้าหมายเป็นข้อมูลประจำตัวที่ถูกเก็บไว้ในส่วนของการใช้งาน Veeam backups ซอฟต์แวร์นี้มักใช้สำหรับจัดเก็บข้อมูลประจำตัวไปยัง domain controllers และ cloud services เพื่อให้ผู้โจมตีที่ใช้ ransomware สามารถทำการ deeper infiltration และ lateral movement
เมื่อข้อมูลถูกดึงออกมาแล้ว Eamfo จะทำการถอดรหัสรวมถึงแสดงรายละเอียดของข้อมูลให้ผู้โจมตีทราบ
นักวิจัยพบว่ามัลแวร์ตัวนี้ได้ถูกใช้โดยกลุ่ม ransomware ในอดีต เช่น Monti, Yanluowang, และ LockBit แต่ทาง Symantec พบว่าในการดำเนินการของ BlackCat มีการใช้ anti-rootkit รุ่นเก่า ที่ทำให้กระบวนการป้องกันไวรัสหยุดทำงานลง
ท้ายที่สุดในเดือนมิถุนายน 2565 ที่ผ่านมากลุ่ม BlackCat ได้แนะนำ และสนับสนุนการเข้ารหัสไฟล์บน ARM architectures และโหมดการเข้ารหัสใน Windows safe mode ทั้งที่มีและไม่มีเครือข่าย
ทางกลุ่ม BlackCat ยังได้สร้างแหล่งข้อมูลออนไลน์ไว้โดยเฉพะ เพื่อให้ผู้คนผู้ใช้ทุกคนสามารถเข้ามาค้นหาข้อมูลที่ถูกขโมยไป เพื่อเป็นการเพิ่มแรงกดดันต่อบริษัท และองค์กรต่างๆที่ถูกขโมยข้อมูล จึงเห็นได้ชัดว่า BlackCat ได้มีการพัฒนาอย่างต่อเนื่อง รวมถึงปรับเปลี่ยนวิธีการโจมตีเพื่อให้การทำงานาของ RaaS มีประสิทธิภาพมากยิ่งขึ้น
Symantec รายงานว่ากลุ่ม BlackCat ได้มีการขับไล่บริษัทในเครือที่ไม่สามารถทำงานได้ตามเป้าหมายที่ต้องการ โดยแนะนำให้บริษัทในเครือที่ถูกขับไล่นั้นไปทำงานกับโปรแกรม RaaS ระดับล่าง
หลังจากนั้นนักวิจัยพบอดีตบริษัทในเครือ Conti ย้ายไปที่ BlackCat/ALPHV หลังจากที่กลุ่ม Conti ransomware ปิดตัวลง และจากเหตุการณ์ที่เกิดขึ้นทำให้ผู้โจมตีที่มีประสบการณ์ ซึ่งสามารถเริ่มการโจมตีครั้งใหม่ได้อย่างรวดเร็ว จากการปฏิบัติการครั้งใหม่
เกี่ยวกับไซเบอร์ตรอน
ผู้ให้บริการ #CyberResilience ศูนย์เฝ้าระวังภัยคุกคามด้านความมั่นคงปลอดภัยไซเบอร์รูปแบบใหม่ พร้อมโซลูชั่นเพื่อการพัฒนาความสามารถด้วยแพลตฟอร์มการจำลองยุทธ์ด้านความมั่นคงปลอดภัยไซเบอร์ อีกทั้งยังเป็นผู้นำการให้บริการนวัตกรรมด้านความมั่นคงปลอดภัยไซเบอร์ที่ล้ำสมัยในระดับสากล
บริการของเรา