El grup de ransomware BlackCat ha estat adaptant-se i innovant contínuament les seves operacions malicioses, convertint-se en un repte formidable per als experts en ciberseguretat. Descobriments recents de la Unitat 42 de Palo Alto Networks revelen que els operadors de BlackCat han estat perfeccionant de manera consistent les seves eines de ransomware durant els dos últims anys. Una de les seves últimes eines, anomenada ‘Munchkin’, aprofita un sistema operatiu basat en Linux per executar BlackCat en màquines remotes, específicament per xifrar comparticions SMB/CIFS.
Munchkin opera d’una manera única: es presenta com un arxiu ISO carregat amb Alpine OS, que després s’utilitza a través de VirtualBox degut a la seva naturalesa compacta. Una vegada activat, el malware modifica la contrasenya d’arrel de la VM, inicia una nova sessió de terminal utilitzant tmux, executa el binari ‘controller’ i posteriorment apaga la VM. El malware controlador, que és similar a BlackCat, desxifra cadenes i verifica fitxers de configuració i de càrrega al directori /app. Després crea i munta el directori /payloads/ per a instàncies personalitzades de BlackCat basades en una plantilla trobada a /app/payload. Després de la seva execució, la VM s’apaga. Curiosament, es va descobrir un missatge incrustat dins del malware, però roman sense usar, suggerint que es podria instruir als afiliats per eliminar-lo dels sistemes compromesos.
Aquesta evolució per part dels desenvolupadors de ransomware de BlackCat indica una tendència més àmplia a la comunitat de malware. Cada vegada més, els ciberdelinqüents estan aprofitant màquines virtuals (VM) per eludir les mesures de seguretat, mantenint-se un pas per davant de la comunitat de ciberseguretat. La introducció d’eines com Munchkin posa de manifest la necessitat que les organitzacions romanguin vigilants i proactives en els seus esforços de ciberseguretat.
Source: Cyber Security News
Per mitigar amenaces potencials, és important implementar mesures addicionals de ciberseguretat amb l’ajuda d’un soci de confiança com INFRA www.infrascan.net o bé pots provar-ho tu mateix utilitzant check.website.