Il gruppo di ransomware BlackCat ha continuamente adattato e innovato le sue operazioni malevole, rendendolo una sfida formidabile per gli esperti di cybersecurity. Recenti scoperte dell’Unità 42 di Palo Alto Networks rivelano che gli operatori di BlackCat hanno costantemente perfezionato i loro strumenti di ransomware negli ultimi due anni. Uno dei loro ultimi strumenti, chiamato ‘Munchkin’, sfrutta un sistema operativo basato su Linux per eseguire BlackCat su macchine remote, specificamente per criptare le condivisioni SMB/CIFS.
Munchkin opera in modo unico: si presenta come un file ISO caricato con Alpine OS, che viene poi utilizzato tramite VirtualBox grazie alla sua natura compatta. Una volta attivato, il malware modifica la password di root della VM, avvia una nuova sessione di terminale usando tmux, esegue il file binario ‘controller’ e successivamente spegne la VM. Il malware controller, che assomiglia a BlackCat, decripta le stringhe e controlla i file di configurazione e di payload nella directory /app. Successivamente crea e monta la directory /payloads/ per le istanze personalizzate di BlackCat basate su un template trovato in /app/payload. Dopo la sua esecuzione, la VM si spegne. Curiosamente, è stato scoperto un messaggio incorporato nel malware ma rimane inutilizzato, suggerendo che gli affiliati potrebbero essere istruiti a rimuoverlo dai sistemi compromessi.
Questa evoluzione da parte degli sviluppatori di ransomware BlackCat è indicativa di una tendenza più ampia nella comunità dei malware. Sempre di più, i cybercriminali sfruttano le macchine virtuali (VM) per eludere le misure di sicurezza, mantenendosi un passo avanti rispetto alla comunità di cybersecurity. L’introduzione di strumenti come Munchkin sottolinea la necessità per le organizzazioni di rimanere vigili e proattive nei loro sforzi di cybersecurity.
Source: Cyber Security News
Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.