Nhóm ransomware BlackCat (ALPHV) hiện sử dụng các tài khoản Microsoft bị đánh cắp và bộ mã hóa Sphynx được phát hiện gần đây để mã hóa bộ lưu trữ đám mây Azure của mục tiêu.
Trong khi điều tra một cuộc tấn công gần đây, các thành viên trong đội ngũ ứng phó sự cố của Sophos X-Ops đã phát hiện ra rằng những kẻ tấn công đã sử dụng một biến thể Sphynx mới với sự hỗ trợ bổ sung để sử dụng thông tin xác thực tùy chỉnh.
Sau khi có được quyền truy cập vào tài khoản Sophos Central bằng Mật khẩu dùng một lần (OTP) bị đánh cắp, chúng đã vô hiệu hóa Tamper Protection và sửa đổi các chính sách bảo mật. Những hành động này có thể thực hiện được sau khi đánh cắp OTP từ kho LastPass của nạn nhân bằng tiện ích mở rộng LastPass Chrome.
Sau đó, chúng mã hóa hệ thống của khách hàng Sophos và bộ lưu trữ đám mây Azure từ xa, đồng thời gắn phần mở rộng .zk09cvt vào tất cả các tệp bị khóa. Những kẻ khai thác ransomware có thể mã hóa thành công tổng cộng 39 tài khoản Azure Storage.
Băng đảng này xâm nhập vào cổng Azure của nạn nhân bằng cách sử dụng khóa Azure bị đánh cắp để cung cấp quyền truy cập vào các tài khoản lưu trữ được nhắm mục tiêu. Các khóa được sử dụng trong cuộc tấn công đã được đưa vào mã nhị phân của ransomware sau khi được mã hóa bằng Base64.
Những kẻ tấn công cũng sử dụng nhiều công cụ Quản lý và Giám sát Từ xa (RMM) như AnyDesk, Splashtop và Atera trong suốt cuộc xâm nhập.
Sophos đã phát hiện ra biến thể Sphynx vào tháng 3 năm 2023 trong một cuộc điều tra về một vụ vi phạm dữ liệu có điểm tương đồng với một cuộc tấn công khác được mô tả trong báo cáo IBM-Xforce xuất bản vào tháng 5 (công cụ ExMatter được sử dụng để trích xuất dữ liệu bị đánh cắp trong cả hai trường hợp).
Tháng trước, Microsoft cũng phát hiện ra rằng bộ mã hóa Sphynx mới đang nhúng công cụ hack Remcom và khung mạng Impacket để chuyển động bên qua các mạng bị xâm nhập.
Mẫu ghi chú tiền chuộc BlackCat
Là một hoạt động ransomware xuất hiện vào tháng 11 năm 2021, BlackCat/ALPHV bị nghi ngờ là một thương hiệu được đổi tên thành DarkSide/BlackMatter.
Ban đầu được biết đến với cái tên DarkSide, nhóm này đã thu hút sự chú ý toàn cầu sau khi xâm phạm Colonial Pipeline ngay lập tức thu hút sự giám sát từ các cơ quan thực thi pháp luật quốc tế.
Mặc dù chúng đã đổi tên thành BlackMatter vào tháng 7 năm 2021, nhưng hoạt động đã bị dừng đột ngột vào tháng 11 khi chính quyền tịch thu máy chủ của chúng và công ty bảo mật Emsisoft đã phát triển một công cụ giải mã khai thác lỗ hổng trong ransomware.
Băng đảng này liên tục được cảnh báo là một trong những nhóm ransomware tinh vi và nổi tiếng nhất nhắm vào các doanh nghiệp trên quy mô toàn cầu, liên tục điều chỉnh và cải tiến các chiến thuật của mình.
Ví dụ: trong một phương pháp tống tiền mới vào mùa hè năm ngoái, nhóm ransomware đã sử dụng một trang web chuyên dụng để rò rỉ dữ liệu bị đánh cắp của một nạn nhân cụ thể, cung cấp cho khách hàng và nhân viên của nạn nhân phương tiện để xác định xem dữ liệu của họ có bị lộ hay không.
Gần đây hơn, BlackCat đã giới thiệu API rò rỉ dữ liệu vào tháng 7 được thiết kế để hợp lý hóa việc phổ biến dữ liệu bị đánh cắp.
Tuần trước, một trong những thành viên của băng đảng (được theo dõi là Scattered Spider) đã tuyên bố tấn công vào MGM Resorts, cho biết chúng đã mã hóa hơn 100 phần mềm ảo hóa ESXi sau khi công ty này phá bỏ cơ sở hạ tầng nội bộ và từ chối thương lượng thanh toán tiền chuộc.
Tháng 4 năm ngoái, FBI đã đưa ra cảnh báo nhấn mạnh rằng nhóm này đứng đằng sau vụ đột nhập thành công của hơn 60 thực thể trên toàn thế giới trong khoảng thời gian từ tháng 11 năm 2021 đến tháng 3 năm 2022.
Nguồn: bleepingcomputer.com
Vina Aspire là nhà cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 | Website: www.vina-aspire.com
Vina Aspire – Vững bảo mật, trọn niềm tin
Nguồn : https://www.john-partners.us/blackcat-ransomware-tan-cong-azure-storage-bang-bo-ma-hoa-sphynx
