Veeam mentéseket is támad a BlackCat zsarolóvírus

​A BlackCat zsarolóprogram legújabb variánsa sokat fejlődött az adatszivárogtatási képességeit illetően.
 

A BlackCat korábban a Darkside és a BlackMatter nevű zsaroló programok utódjaként jelent meg, és kezdett terjedni. Ugyanakkor elsősorban nem a széles körű fertőzéseivel hívta fel magára a figyelmet, hanem sokkal inkább a szofisztikált működésével. Biztonsági kutatók szerint ez a szerzemény az egyik legfejlettebb olyan zsarolóvírus, amit az internetes alvilág berkein belül RaaS (Ransomware-as-a-service) szolgáltatás formájában is igénybe lehet venni.
 
A Rust nyelven íródott károkozó kezdetben elsősorban fájlok titkosításával okozott károkat. Hasonlóan sok más kártevőhöz, ez is váltságdíjat követelt a helyreállításhoz szükséges információkért cserébe. Majd minden újabb variánsa rátett egy lapáttal minderre, és egyértelműen körvonalazódott, hogy a mögötte álló kiberbanda nem elégszik meg a fájltitkosításos zsarolással. A BlackCat ugyanis olyan összetevőkkel kezdett bővülni, amik alkalmassá tették adatszivárogtatásra, és ezzel együtt dupla zsarolásra. Ezáltal, ha egy áldozat nem fizetett a dekódoló kulcsért, akkor az elkövetők még mindig zsarolhattak az ellopott adatok nyilvánosságra hozatalával.
 
A Symantec vírusokkal foglalkozó szakértői az elmúlt hetekben is figyelték a BlackCat fejlődését, és a legújabb variáns tanulmányozása során arra a következtetésre jutottak, hogy a kártevő ismét jelentős fejlesztésen esett át, különösen, ami az adatlopással összefüggő funkcionalitását illeti.
 
A BlackCat legújabb variánsának újdonságai:

• a kiszivárogtatandó fájlok típusának beállíthatósága (PDF, DOC, DOCX, XLS, PNG, JPG, JPEG, TXT, BMP, RDP, SQL, MSG, PST, ZIP, RTF, IPT, DWG)
• FTP támogatás (az eddigi SFTP és WebDav mellé)
• kimutatáskészítési lehetőségek a kompromittált vagy eltulajdonított fájlokról
• Eraser funkció (fájltörlés)
• Self-destruct funkció (önmegsemmisítés)
• GPO-alapú fájlterjesztés
• új rootkit képességek

 
Célkeresztbe került a Veeam
 
A Symantec arra is felhívta a figyelmet, hogy a BlackCat mellett az utóbbi időben egy másik károkozó is felbukkant. Az Eamfo névre keresztelt trójai legfontosabb jellemzője, hogy a Veeam alapú biztonsági mentéseket képes dekódolni, majd azokból hitelesítési adatokat kigyűjteni. Ehhez kapcsolódik a Veeam SQL adatbázisához, majd a megkaparintott adatokkal való visszaélést követően értékes hitelesítő adatokhoz juttatja a terjesztőit.