BlackCat: nuove funzionalità del ransomware

BlackCat: nuove funzionalità del ransomware

Symantec ha scoperto due nuovi tool che permettono di rubare dati e password durante gli attacchi effettuati con il ransomware BlackCat.
Symantec ha scoperto due nuovi tool che permettono di rubare dati e password durante gli attacchi effettuati con il ransomware BlackCat.

BlackCat, successore di DarkSide e BlackMatter, è uno dei ransomware più diffusi e pericolosi del momento. Gli esperti di Symantec hanno scoperto un nuovo tool usato dai cybercriminali per esfiltrare i dati durante un attacco. La gang sfrutta inoltre un malware specifico per rubare le credenziali salvate nei backup di Veeam.

BlackCat: evoluzione delle tattiche

BlackCat (che Symantec identifica come Noberus) è apparso sulle scene a novembre 2021. È stato uno dei primi ransomware multi-piattaforma, in quanto il codice è scritto in linguaggio Rust. Utilizza due algoritmi (ChaCha20 e AES) e quattro modalità di crittografia intermittente o parziale. Recentemente è stato anche aggiunto il supporto per le architetture ARM. A luglio è stato implementato un motore di ricerca.

Un mese fa è stato invece aggiornato Exmatter, il tool sfruttato per esfiltrare i dati dai computer delle vittime, prima di avviare l’operazione di cifratura. L’ultima versione cerca un numero inferiore di file (.pdf, .doc, .docx, .xls, .xlsx, .png, .jpg, .jpeg, .txt, .bmp, .rdp, .txt, .sql, .msg, .pst, .zip, .rtf, .ipt e .dwg), può cancellare i file e può attivare l’auto-distruzione per evitare di essere rilevato.

I cybercriminali usano inoltre l’info-stealer Eamfo per recuperare le credenziali dai backup di Veeam. Il malware può rubare le password dal database SQL del software, decifrarle e mostrarle in chiaro. Dato che le tattiche sfruttate durante gli attacchi sono in continua evoluzione è sempre consigliata l’installazione di antivirus aggiornati.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione.

Fonte: Symantec
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 23 set 2022
Link copiato negli appunti