Группа вымогательского ПО BlackCat постоянно адаптирует и модернизирует свои вредоносные операции, что ставит экспертов в области кибербезопасности перед сложной задачей. Недавние исследования Unit 42 от Palo Alto Networks показывают, что операторы BlackCat регулярно усовершенствуют свои инструменты вымогательского ПО за последние два года. Один из их последних инструментов, названный “Munchkin”, использует операционную систему на основе Linux для запуска BlackCat на удаленных машинах, в частности для шифрования общих ресурсов SMB/CIFS.
Munchkin работает уникальным образом: это файл ISO, загруженный с Alpine OS, который затем используется через VirtualBox благодаря его компактной структуре. После активации вредоносное ПО изменяет корневой пароль ВМ, запускает новую сессию терминала с использованием tmux, запускает бинарный файл ‘controller’ и затем выключает ВМ. Вредоносное ПО контроллера, которое схоже с BlackCat, дешифрует строки и проверяет наличие конфигурационных и полезных файлов в директории /app. Затем он создает и монтирует директорию /payloads/ для настраиваемых экземпляров BlackCat на основе шаблона, найденного в /app/payload. После выполнения ВМ выключается. Интересно, что в вредоносном ПО было обнаружено встроенное сообщение, но оно остается неиспользованным, что может указывать на то, что аффилированным сторонам может быть дана инструкция по его удалению из компрометированных систем.
Такое развитие у разработчиков вымогательского ПО BlackCat отражает более широкий тренд в сообществе вредоносных программ. Все больше и больше киберпреступники используют виртуальные машины (ВМ) для обхода мер безопасности, опережая на шаг сообщество кибербезопасности. Введение инструментов, таких как Munchkin, подчеркивает необходимость для организаций оставаться бдительными и проактивными в своих усилиях по обеспечению кибербезопасности.
Source: Cyber Security News
Чтобы смягчить потенциальные угрозы, важно реализовать дополнительные меры по обеспечению кибербезопасности с помощью надежного партнера, такого как INFRA www.infrascan.net, или вы можете попробовать сами, используя check.website.