Ciberseguridad 360 | Sophos Descubre Ataque de Ransomware BlackCat en Azure

La banda de ransomware BlackCat (ALPHV) ahora utiliza cuentas de Microsoft robadas y el cifrador Sphynx recientemente descubierto para cifrar el almacenamiento en la nube de Azure de los objetivos.

Mientras investigaban una infracci�n reciente, los servicios de respuesta a incidentes de Sophos X-Ops descubrieron que los atacantes utilizaron una nueva variante de Sphynx con soporte adicional para el uso de credenciales personalizadas.

Despu�s de obtener acceso a la cuenta de Sophos Central utilizando una contrase�a de un solo uso (OTP) robada, desactivaron la protecci�n contra manipulaciones y modificaron las pol�ticas de seguridad. Estas acciones fueron posibles despu�s de robar la OTP de la b�veda de LastPass de la v�ctima utilizando la extensi�n LastPass Chrome.

Posteriormente, cifraron los sistemas del cliente de Sophos y el almacenamiento remoto en la nube de Azure y agregaron la extensi�n .zk09cvt a todos los archivos bloqueados. En total, los operadores de ransomware pudieron cifrar con �xito 39 cuentas de Azure Storage.

Se infiltraron en el portal Azure de la v�ctima utilizando una clave de Azure robada que les proporcion� acceso a las cuentas de almacenamiento espec�ficas. Las claves utilizadas en el ataque se inyectaron dentro del binario del ransomware despu�s de codificarse con Base64.

Los atacantes tambi�n utilizaron m�ltiples herramientas de administraci�n y monitoreo remoto (RMM) como AnyDesk, Splashtop y Atera durante la intrusi�n.

Sophos descubri� la variante Sphynx en marzo de 2023 durante una investigaci�n sobre una violaci�n de datos que compart�a similitudes con otro ataque descrito en un informe de IBM-Xforce publicado en mayo (la herramienta ExMatter se utiliz� para extraer los datos robados en ambos casos).

Microsoft tambi�n descubri� el mes pasado que el nuevo cifrador Sphynx est� incorporando la herramienta de pirater�a Remcom y el marco de red Impacket para el movimiento lateral a trav�s de redes comprometidas.

?Como operaci�n de ransomware que surgi� en noviembre de 2021, se sospecha que BlackCat/ALPHV es un cambio de marca de DarkSide/BlackMatter .

Conocido inicialmente como DarkSide, este grupo atrajo la atenci�n mundial despu�s de violar Colonial Pipeline , lo que atrajo el escrutinio inmediato de las agencias policiales internacionales.

Aunque cambiaron su nombre a BlackMatter en julio de 2021, las operaciones se detuvieron abruptamente en noviembre cuando las autoridades confiscaron sus servidores y la empresa de seguridad Emsisoft desarroll� una herramienta de descifrado que aprovechaba una vulnerabilidad en el ransomware.

Esta banda ha sido reconocida constantemente como uno de los grupos de ransomware m�s sofisticados y de alto perfil que se dirige a empresas a escala global, adaptando y refinando continuamente sus t�cticas.

Por ejemplo, en un nuevo enfoque de extorsi�n el verano pasado, la banda de ransomware utiliz� un sitio web exclusivo para filtrar los datos robados de una v�ctima espec�fica, proporcionando a los clientes y empleados de la v�ctima los medios para determinar si sus datos hab�an sido expuestos.

M�s recientemente, BlackCat introdujo en julio una API de fuga de datos dise�ada para agilizar la difusi�n de datos robados.

Esta semana, uno de los afiliados de la pandilla (seguido como Scattered Spider) reivindic� el ataque a MGM Resorts , diciendo que cifraron m�s de 100 hipervisores ESXi despu�s de que la compa��a derribara su infraestructura interna y se negara a negociar un pago de rescate.

En abril pasado, el FBI emiti� una advertencia destacando que el grupo estuvo detr�s de las intrusiones exitosas de m�s de 60 entidades en todo el mundo entre noviembre de 2021 y marzo de 2022.

Fuente: bleepingcomputer