Nem nyugszik a BlackCat zsarolóvírus

​A BlackCat zsarolóvírus védelmi technológiák sebezhetőségeit sem rest kihasználni.
 

A BlackCat zsaroló program először 2021. novemberében jelent meg, és azóta RaaS (ransomware-as-a-service) szolgáltatás formájában érhető el az internet sötét oldalán. A BlackCattel célba vett szervezetek egy része a Sophos céget kérte fel arra, hogy részletesen vizsgálja ki az incidenseket, hogy mindenki tisztábban láthasson a kártékony program kapcsán.
 
A biztonsági kutatók öt incidenst vizsgáltak ki mélyrehatóan. Ezek közül négy esetben azt állapították meg, hogy a BlackCat alapú támadások során az elkövetők tűzfalakkal és VPN-megoldásokkal kapcsolatos sérülékenységeket is képesek voltak a saját javukra fordítani. VPN-hez kapcsolódó hitelesítő adatokat szereztek meg, illetve RDP-kapcsolatokkal is visszaéléseket követtek el. Az incidensek során nyílt forráskódú és kereskedelmi forgalomban kapható eszközöket is felhasználtak, miközben hátsó kapukat telepítettek. Egyebek mellett az alábbi szoftvereket fordították a saját javukra:

• TeamViewer
• nGrok
• Cobalt Strike
• Brute Ratel

 

"Az elkövetők bevált és biztos módszereket használnak, mert tudják, hogy ezek még mindig működnek. De azért innovációval is szolgálnak a biztonsági rendszerek kikerülése érdekében"

- mondta Christopher Budd, a Sophos fenyegetéskutató részlegének menedzsere.
 
A vizsgált támadásoknak nem volt egyértelmű, közös mintázata. Ezek az Egyesült Államokban, Európában és Ázsiában fordultak elő nagyvállalatoknál, amelyek különböző iparági szegmensekben működnek. Az áldozatul eső vállalatoknál azonban megfigyelhetők voltak az alábbi gyenge pontok:

• elavult rendszerek, amelyek már nem voltak frissíthetők
• többlépcsős hitelesítés hiánya a VPN-kapcsolatok esetében
• nem szegmentált hálózati struktúra.