O ransomware BlackCat não está mostrando sinais de desaceleração. Um exemplo claro disso, é que o BlackCat tem evoluído e uma nova versão da ferramenta de exfiltração de dados atualizada vem sendo utilizada pela gangue usada para ataques de extorsão dupla.
Evolução do BlackCat atualiza ferramenta de exfiltração de dados
O BlackCat é considerado um sucessor do Darkside e do BlackMatter e é uma das operações de Ransomware como serviço (RaaS) mais sofisticadas e tecnicamente avançadas. Inclusive, pesquisadores de segurança da Symantec, que rastreiam o BlackCat como “Noberus”, relatam que o desenvolvedor do primeiro ransomware baseado em Rust melhora e enriquece continuamente o malware com novos recursos.
A evolução do BlackCat agora se concentra na ferramenta usada para exfiltrar dados de sistemas comprometidos, um requisito essencial para a realização de ataques de dupla extorsão. Denominada “Exmatter”, a ferramenta foi usada desde o lançamento do BlackCat em novembro de 2021 e foi fortemente atualizada em agosto de 2022.
Alterações na ferramenta Exmatter desde o lançamento do BlackCat
- Limite os tipos de arquivos a serem exfiltrados para: PDF, DOC, DOCX, XLS, PNG, JPG, JPEG, TXT, BMP, RDP, SQL, MSG, PST, ZIP, RTF, IPT e DWG.
- Adicionado FTP como uma opção de exfiltração além de SFTP e WebDav.
- Oferta de opção para construir um relatório listando todos os arquivos processados.
- Adicionado o recurso “Eraser” dando a opção de corromper os arquivos processados.
- Adicionada a opção de configuração “Auto-destruição” para sair e se excluir se executado em ambientes inválidos.
- Removido o suporte para Socks5;
- Adicionada opção para implantação de GPO.
Além dos recursos expandidos, a versão mais recente do Exmatter passou por uma pesada refatoração de código, implementando os recursos existentes de forma mais furtiva para evitar a detecção, aponta o Bleeping Computer.
Outra adição recente à capacidade de roubo de informações do BlackCat é a implantação de um novo malware chamado “Eamfo”, que visa explicitamente as credenciais armazenadas nos backups da Veeam. Esse software é normalmente usado para armazenar credenciais para controladores de domínio e serviços em nuvem para que os agentes do ransomware possam usá-los para infiltrações mais profundas e movimentos laterais.
O Eamfo se conecta ao banco de dados SQL da Veeam e rouba as credenciais de backup. Depois que as credenciais são extraídas, o Eamfo as descriptografa e as exibe para o agente da ameaça.
Os pesquisadores observam que o malware de roubo de informações foi usado por outras gangues de ransomware no passado, incluindo Monti, Yanluowang e LockBit. Finalmente, a Symantec notou que a operação BlackCat foi vista usando um utilitário anti-rootkit mais antigo chamado para encerrar processos antivírus.