Nhóm ransomware BlackCat đã liên tục điều chỉnh và đổi mới các hoạt động độc hại của mình, tạo ra một thách thức đáng gờm cho các chuyên gia an ninh mạng. Các phát hiện gần đây của Unit 42 thuộc Palo Alto Networks tiết lộ rằng những người vận hành BlackCat đã liên tục cải tiến công cụ ransomware của họ trong hai năm qua. Một trong những công cụ mới nhất của họ, có tên là ‘Munchkin,’ tận dụng một hệ điều hành dựa trên Linux để chạy BlackCat trên các máy tính từ xa, cụ thể là để mã hóa SMB/CIFS shares.
Munchkin hoạt động độc đáo: nó xuất hiện dưới dạng một tệp ISO đã nạp sẵn Alpine OS, sau đó được sử dụng thông qua VirtualBox do kích thước gọn nhẹ của nó. Một khi được kích hoạt, phần mềm độc hại thay đổi mật khẩu gốc của VM, bắt đầu một phiên làm việc terminal mới sử dụng tmux, chạy tệp nhị phân ‘controller’ và sau đó tắt VM. Phần mềm độc hại controller, tương tự như BlackCat, giải mã chuỗi và kiểm tra tệp cấu hình và tải trọng trong thư mục /app. Sau đó, nó tạo và gắn kết thư mục /payloads/ cho các phiên bản BlackCat tùy chỉnh dựa trên một mẫu tìm thấy trong /app/payload. Sau khi thực hiện, VM sẽ tắt nguồn. Thú vị là một thông điệp được nhúng trong phần mềm độc hại đã được phát hiện nhưng vẫn chưa được sử dụng, gợi ý rằng các bên liên kết có thể được hướng dẫn để loại bỏ nó khỏi hệ thống bị xâm nhập.
Sự tiến hóa này của các nhà phát triển ransomware BlackCat cho thấy một xu hướng rộng lớn hơn trong cộng đồng malware. Ngày càng nhiều, các tội phạm mạng đang tận dụng máy ảo (VMs) để vượt qua các biện pháp bảo mật, luôn đi trước một bước so với cộng đồng an ninh mạng. Việc giới thiệu các công cụ như Munchkin nhấn mạnh sự cần thiết cho các tổ chức cần phải luôn cảnh giác và chủ động trong các nỗ lực an ninh mạng của họ.
Source: Cyber Security News
Để giảm thiểu các mối đe dọa tiềm năng, điều quan trọng là cần thực hiện các biện pháp bảo mật mạng bổ sung với sự giúp đỡ của một đối tác đáng tin cậy như INFRA www.infrascan.net hoặc bạn cũng có thể tự thử bằng cách sử dụng check.website.