Cybersecurity-onderzoekers hebben verdere verbanden ontdekt tussen BlackCat (ook bekend als AlphaV) en BlackMatter-ransomwarefamilies, waarvan de eerste vorig jaar als vervanging naar voren kwam na internationaal onderzoek.
“Ten minste enkele leden van de nieuwe BlackCat-groep hebben links naar de BlackMatter-groep, omdat ze een aangepaste exfiltratietool hebben aangepast en opnieuw gebruikt […] en die alleen is waargenomen bij BlackMatter-activiteit”, onderzoekers van Kaspersky zei in een nieuwe analyse.
De tool, Fendr genaamd, is niet alleen geüpgraded om meer bestandstypen te bevatten, maar wordt ook uitgebreid gebruikt door de bende om gegevens van bedrijfsnetwerken te stelen in december 2021 en januari 2022 voorafgaand aan codering, in een populaire tactiek die dubbele afpersing wordt genoemd.
De bevindingen komen minder dan een maand nadat Cisco Talos-onderzoekers overlappingen in de tactieken, technieken en procedures (TTP’s) tussen BlackCat en BlackMatter identificeerden, waarbij de nieuwe ransomware-variant werd beschreven als een geval van “verticale bedrijfsuitbreiding”.
BlackCat onderscheidt zich om twee redenen: het is een gelieerde speler die BlackMatter in het verleden heeft ingezet en de malware is geschreven in Rust, wat aangeeft hoe bedreigingsactoren steeds meer overstappen op programmeertalen met mogelijkheden voor cross-compilatie.
De groep “biedt infrastructuur, malware-samples, losgeldonderhandelingen en waarschijnlijk uitbetalingen”, merkten de onderzoekers op. “Iedereen die al toegang heeft tot gecompromitteerde omgevingen, kan de monsters van BlackCat gebruiken om een doelwit te infecteren.”
Eenmaal uitgevoerd, krijgt de malware het Windows-systeem MachineGuid uit het register — een unieke sleutel die wordt gegenereerd tijdens de installatie van het besturingssysteem — en de UUID, voordat u gebruikersaccountbeheer overslaat (UAC), verwijder schaduwback-ups en start het coderingsproces.
“Dit gebruik van een gemodificeerde Fendr, ook bekend als ExMatter, vertegenwoordigt een nieuw datapunt dat BlackCat verbindt met eerdere BlackMatter-activiteit”, aldus de onderzoekers.
“De wijziging van deze hergebruikte tool demonstreert een meer geavanceerd plannings- en ontwikkelingsregime voor het aanpassen van vereisten aan doelomgevingen, kenmerkend voor een volwassen wordende criminele onderneming.”
