Поява нових висококваліфікованих хакерів та нові можливості шкідливого ПЗ відкрили нові горизонти в світі кіберзлочинності.
Програма-вимагач BlackCat (ALPHV) оновила свій інструмент для крадіжки даних, що використовується для атак із подвійним вимаганням. Дослідники з компанії Symantec повідомляють, що інструмент Exmatter, який використовувався з моменту запуску BlackCat у серпні 2021 року, у серпні був оновлений та отримав наступні зміни:
- Тепер ексфільтрація доступна тільки для розширень: PDF, DOC, DOCX, XLS, PNG, JPG, JPEG, TXT, BMP, RDP, SQL, MSG, PST, ZIP, RTF, IPT та DWG;
- Доданий FTP як опція ексфільтрації на додаток до SFTP та WebDav;
- Додана можливість створити звіт зі списком всіх оброблених файлів;
- Додана функція «Гумка», що дає можливість пошкоджувати оброблені файли;
- Додано параметр конфігурації «Самознищення», щоб облишити систему та «видалити себе», якщо вхід виконано в неприпустимому середовищі
- Видалена підтримка Socks5;
- Додана можливість розгортання об’єкта групової політики GPO.
Також у Exmatter виявлено масштабний рефакторинг коду, через що виявлення шкідника ускладнене. Крім того, було виявлено, що BlackCat створила нове шкідливе програмне забезпечення «Eamfo», що пов’язане з обліковими даними, які зберігаються в резервних копіях розробника програмного забезпечення Veeam.
Eamfo підключається до бази даних Veeam SQL та зберігає облікові дані для резервної копії із SQL-запитом. Після вилучення облікових даних Eamfo розшифровує їх та в кінці сповіщує про цю дію жертву. За чутками, Eamfo використовувалося іншими угрупованнями, включаючи Monti, Yanluowang та LockBit.
Symantec також повідомляє, що оператори BlackCat скасовують співпрацю з афілійованими особами, які, на їхню думку, недостатньо продуктивні, так як працюють з менш ефективними RaaS-програмами. Це було реалізовано до притоку досвідчених зловмисників, що дозволило швидко реалізувати нові атаки в рамках нової кампанії.
