เมนู

BlackCat ransomware’s
data exfiltration tool gets an upgrade

BlackCat FULL

BlackCat ransomware (aka ALPHV) ไม่มีสัญญาณแจ้งเตือนใดๆ และตัวอย่างล่าสุดของการพัฒนา คือเวอร์ชั่นใหม่ของเครื่องมือที่ใช้ในการโจมตีแบบ double-extortion

23 กันยายน 2565

BlackCat ถือเป็นผู้สืบทอดต่อจาก Darkside และ BlackMatter ในการดำเนินการ Ransomware-as-a-service (RaaS) ที่ล้ำสมัยที่สุด

จากรายงานของนักวิจัยจาก Symantec พบว่าผู้พัฒนา BlackCat สายพันธุ์แรกที่ใช้ใน Rust-based ได้มีการปรับปรุง และพัฒนาอย่างต่อเนื่องด้วยคุณสมบัติใหม่ ในเรื่องของเครื่องมือที่ใช้กรองข้อมูลจากระบบที่ถูกบุกรุก โดยใช้ชื่อว่า “Exmatter” และได้ถูกใช้ตั้งแต่มีการเปิดตัว BlackCat ในช่วงเดือนพฤศจิกายน 2564 และได้รับการอัพเดทเวอร์ชั่นใหม่ในเดือนสิงหาคม 2565 ที่ผ่านมาดังรายการต่อไปนี้

  • การจำกัดประเภทของการแตกไฟล์ PDF, DOC, DOCX, XLS, PNG, JPG, JPEG, TXT, BMP, RDP, SQL, MSG, PST, ZIP, RTF, IPT และ DWG
  • เพิ่มตัวเลือกการใช้งาน FTP จากเดิม SFTP และ WebDav
  • เพิ่มเติมตัวเลือกการสร้างไฟล์ที่ใช้แสดงรายงานประมวลผลทั้งหมด
  • เพิ่มตัวเลือก “Eraser” สามารถลบไฟล์ที่เสียหายได้
  • เพิ่มตัวเลือก “Self-destruct” สามารถปิดการใช้งาน หรือลบตัวเองออกหากพบว่ามีการดำเนินการที่ผิดพลาด
  • ลบการสนับสนุนของ (Type: Socks5) ในการเชื่อมต่อของ Proxy Server
  • เพิ่มตัวเลือกสำหรับการปรับใช้งานในส่วนของ GPO

นอกเหนือจากนี้ในเวอร์ชั่นล่าสุดของ Exmatter ได้การจัดองค์ประกอบ และโครงสร้างภายในของซอฟต์แวร์ใหม่รวมถึงการใช้งานโค้ดจำนวนมาก (Refactoring) เพื่อหลีกเลี่ยงการตรวจจับ

เพื่อเพิ่มความสามารถในการทำงาน (ขโมยข้อมูล) ให้มีประสิทธิภาพมากยิ่งขึ้น BlackCat ได้มีการปรับใช้มัลแวร์ใหม่ที่มีชื่อเรียกว่า “Eamfo” ซึ่งกำหนดเป้าหมายเป็นข้อมูลประจำตัวที่ถูกเก็บไว้ในส่วนของการใช้งาน Veeam backups ซอฟต์แวร์นี้มักใช้สำหรับจัดเก็บข้อมูลประจำตัวไปยัง domain controllers และ cloud services เพื่อให้ผู้โจมตีที่ใช้ ransomware สามารถทำการ deeper infiltration และ lateral movement

Eamfo ทำการเชื่อมต่อกับฐานข้อมูล Veeam SQL และทำการขโมยข้อมูลประจำตัวที่ถูกสำรองไว้ด้วยการ query ด้วยคำสั่งต่อไปนี้

เมื่อข้อมูลถูกดึงออกมาแล้ว Eamfo จะทำการถอดรหัสรวมถึงแสดงรายละเอียดของข้อมูลให้ผู้โจมตีทราบ

นักวิจัยพบว่ามัลแวร์ตัวนี้ได้ถูกใช้โดยกลุ่ม ransomware ในอดีต เช่น Monti, Yanluowang, และ LockBit แต่ทาง Symantec พบว่าในการดำเนินการของ BlackCat  มีการใช้ anti-rootkit รุ่นเก่า ที่ทำให้กระบวนการป้องกันไวรัสหยุดทำงานลง

ท้ายที่สุดในเดือนมิถุนายน 2565 ที่ผ่านมากลุ่ม BlackCat ได้แนะนำ และสนับสนุนการเข้ารหัสไฟล์บน ARM architectures และโหมดการเข้ารหัสใน Windows safe mode ทั้งที่มีและไม่มีเครือข่าย

ทางกลุ่ม BlackCat ยังได้สร้างแหล่งข้อมูลออนไลน์ไว้โดยเฉพะ เพื่อให้ผู้คนผู้ใช้ทุกคนสามารถเข้ามาค้นหาข้อมูลที่ถูกขโมยไป เพื่อเป็นการเพิ่มแรงกดดันต่อบริษัท และองค์กรต่างๆที่ถูกขโมยข้อมูล จึงเห็นได้ชัดว่า BlackCat ได้มีการพัฒนาอย่างต่อเนื่อง รวมถึงปรับเปลี่ยนวิธีการโจมตีเพื่อให้การทำงานาของ RaaS มีประสิทธิภาพมากยิ่งขึ้น

Symantec รายงานว่ากลุ่ม BlackCat ได้มีการขับไล่บริษัทในเครือที่ไม่สามารถทำงานได้ตามเป้าหมายที่ต้องการ โดยแนะนำให้บริษัทในเครือที่ถูกขับไล่นั้นไปทำงานกับโปรแกรม RaaS ระดับล่าง

หลังจากนั้นนักวิจัยพบอดีตบริษัทในเครือ Conti ย้ายไปที่ BlackCat/ALPHV หลังจากที่กลุ่ม Conti ransomware ปิดตัวลง และจากเหตุการณ์ที่เกิดขึ้นทำให้ผู้โจมตีที่มีประสบการณ์ ซึ่งสามารถเริ่มการโจมตีครั้งใหม่ได้อย่างรวดเร็ว จากการปฏิบัติการครั้งใหม่