BlackCat (ALPHV) Ransomware повышает уровень скрытности, скорости и эксфильтрации
Раздел: Шифровирусы шумной толпою
BlackCat (ALPHV) Ransomware повышает уровень скрытности, скорости и эксфильтрации
Программа-вымогатель BlackCat, которая вошла в число наиболее популярных семейств программ-вымогателей, наблюдаемых IBM Security X-Force в 2022 году, согласно индексу X-Force Threat Intelligence за 2023 год, в этом году продолжает сеять хаос в организациях по всему миру. Недавние атаки филиалов программ-вымогателей BlackCat (также известных как ALPHV) включают организации в сфере здравоохранения, правительства, образования, производства и гостиничного бизнеса. Как сообщается, несколько из этих инцидентов привели к публикации группой конфиденциальных данных на своем сайте утечки, включая финансовую и медицинскую информацию, украденную у организаций-жертв.
У групп вымогателей, таких как BlackCat, которые могут изменить свои инструменты и методы, чтобы сделать свои операции более быстрыми и незаметными, больше шансов продлить свою жизнь. X-Force наблюдала, как филиалы BlackCat продолжают оттачивать свои операции, чтобы повысить вероятность успешного воздействия, а именно кражи данных и шифрования. Злоумышленники автоматизировали часть операции по краже данных с помощью ExMatter, специального вредоносного ПО, способного «таять» (самоудаление). Кроме того, группа BlackCat недавно выпустила новую версию своей программы-вымогателя, получившую название Sphynx, с улучшенными возможностями, призванными помешать оборонительным мерам.
Взлет BlackCat
BlackCat стал известен как очень грозная и инновационная операция по борьбе с программами-вымогателями с момента своего дебюта в ноябре 2021 года. BlackCat неизменно входила в десятку самых активных групп программ-вымогателей несколькими исследовательскими организациями и была связана в бюллетене ФБР от апреля 2022 года с ныне несуществующей BlackMatter. /DarkSide вымогатель. В 2022 году филиалы BlackCat были связаны с попыткой вымогательства у организаций по всему миру в различных секторах, включая образование, правительство и энергетику.
Кроме того, BlackCat перешла на язык программирования Rust в 2022 году, вероятно, из-за возможностей настройки, предоставляемых этим языком, а также как средство, препятствующее усилиям по обнаружению и анализу вредоносного ПО. Спустя полтора года после того, как группа BlackCat стала известной, нет никаких признаков того, что она свернется.
Непрерывная эволюция
В течение последних шести месяцев X-Force наблюдала многочисленные вторжения со стороны филиалов BlackCat, которые демонстрировали постоянное совершенствование их инструментов и мастерства. Филиалы BlackCat продолжают злоупотреблять функциональностью объектов групповой политики как для развертывания инструментов, так и для вмешательства в меры безопасности. Злоумышленники, демонстрирующие тонкое понимание Active Directory, могут эффективно злоупотреблять объектами групповой политики для быстрого массового развертывания вредоносных программ. Например, злоумышленники могут попытаться увеличить скорость своих операций, изменив время обновления групповой политики по умолчанию, что, вероятно, сократит промежуток времени между вступлением изменений в силу и возможностью реагирования защитников.
Поскольку BlackCat обычно пытается реализовать схему двойного вымогательства, злоумышленники также используют инструменты как для шифрования данных, так и для кражи. X-Force наблюдала, как злоумышленники использовали ExMatter, инструмент для кражи данных .NET, который был представлен в 2021 году и получил существенное обновление в августе 2022 года. ExMatter используется исключительно одним партнерским кластером программ-вымогателей BlackCat, отслеживаемым Microsoft как DEV-0504. X-Force обнаружил доказательства того, что несколько терабайт данных были эксфильтрированы из среды жертвы в инфраструктуру, контролируемую злоумышленниками. Украденные данные часто публикуются публично на официальном сайте утечки группы в попытке оказать давление на жертв вымогательства.
Наконец, X-Force наблюдала и анализировала развертывание новой версии BlackCat, получившей название Sphynx. Эта версия была впервые анонсирована в феврале 2023 года и представила ряд обновленных возможностей, которые усиливают дейстия группы по уклонению от обнаружения.
Sphynx заметно отличается от предыдущих вариантов. Например, были переработаны аргументы командной строки. Предыдущие варианты использовали параметр –access-token для выполнения. Обновленный вымогатель удаляет этот параметр и добавляет набор более сложных аргументов. Это затрудняет обнаружение, поскольку у защитников нет стандартных команд для поиска.
Кроме того, данные конфигурации представляют собой не формат JSON, а необработанные структуры. Обновленные образцы содержат ненужный код и тысячи зашифрованных строк, что затрудняет статический анализ.
Загрузчик BlackCat Sphynx
Образец примера представляет собой запутанный загрузчик, который при выполнении расшифровывает тысячи строк и свою полезную нагрузку. Функции расшифровки строк находятся в массиве и выполняются снизу вверх.
Расшифрованные строки показывают пути проекта, намекающие на назначение этого компонента. Примечательно, что следующие строки предполагают, что этот компонент является загрузчиком.
При расшифровке строк загрузчик расшифровывает полезную нагрузку следующим образом:
Полезная нагрузка подвергается операции XOR с однобайтовым ключом. Результат по-прежнему зашифрован AES.
Загрузчик получает последние 16 байт полезной нагрузки XOR и использует их в шифре AES-128. Считается, что шифр AES основан на коде из следующего репозитория:
https://github.com/RustCrypto/block-ciphers/blob/master/aes/
После расшифровки AES полученный двоичный файл подвергается операции XOR с 16-байтовым ключом.
Результат находится в памяти, отмеченной строкой «полезная нагрузка», за которой следует DWORD, представляющий размер полезной нагрузки.
Полезная нагрузка выполняется в памяти с аргументами командной строки, подобными следующим.
BlackCat Sphynx
После выполнения версия BlackCat Sphynx выполняет следующие действия:
Получает список томов для обхода с помощью API-функции GetVolumePathNamesForVolumeNameW().
Монтирует несмонтированные тома с помощью функции API SetVolumeMountPointW().
Выполняет действия по обнаружению сети для обнаружения дополнительных систем.
Создает именованный канал: \\.\pipe\__rust_anonymous_pipe1__.<processid>.<random_num> с установленным режимом канала PIPE_REJECT_REMOTE_CLIENTS. Вывод таких команд, как vssadmin.exe Удалить Shadows /all /quiet, отправляется в канал.
Создает несколько дочерних процессов с аргументами командной строки, как показано ниже:
Программа-вымогатель BlackCat, которая вошла в число наиболее популярных семейств программ-вымогателей, наблюдаемых IBM Security X-Force в 2022 году, согласно индексу X-Force Threat Intelligence за 2023 год, в этом году продолжает сеять хаос в организациях по всему миру. Недавние атаки филиалов программ-вымогателей BlackCat (также известных как ALPHV) включают организации в сфере здравоохранения, правительства, образования, производства и гостиничного бизнеса. Как сообщается, несколько из этих инцидентов привели к публикации группой конфиденциальных данных на своем сайте утечки, включая финансовую и медицинскую информацию, украденную у организаций-жертв.
У групп вымогателей, таких как BlackCat, которые могут изменить свои инструменты и методы, чтобы сделать свои операции более быстрыми и незаметными, больше шансов продлить свою жизнь. X-Force наблюдала, как филиалы BlackCat продолжают оттачивать свои операции, чтобы повысить вероятность успешного воздействия, а именно кражи данных и шифрования. Злоумышленники автоматизировали часть операции по краже данных с помощью ExMatter, специального вредоносного ПО, способного «таять» (самоудаление). Кроме того, группа BlackCat недавно выпустила новую версию своей программы-вымогателя, получившую название Sphynx, с улучшенными возможностями, призванными помешать оборонительным мерам.
Взлет BlackCat
BlackCat стал известен как очень грозная и инновационная операция по борьбе с программами-вымогателями с момента своего дебюта в ноябре 2021 года. BlackCat неизменно входила в десятку самых активных групп программ-вымогателей несколькими исследовательскими организациями и была связана в бюллетене ФБР от апреля 2022 года с ныне несуществующей BlackMatter. /DarkSide вымогатель. В 2022 году филиалы BlackCat были связаны с попыткой вымогательства у организаций по всему миру в различных секторах, включая образование, правительство и энергетику.
Кроме того, BlackCat перешла на язык программирования Rust в 2022 году, вероятно, из-за возможностей настройки, предоставляемых этим языком, а также как средство, препятствующее усилиям по обнаружению и анализу вредоносного ПО. Спустя полтора года после того, как группа BlackCat стала известной, нет никаких признаков того, что она свернется.
Непрерывная эволюция
В течение последних шести месяцев X-Force наблюдала многочисленные вторжения со стороны филиалов BlackCat, которые демонстрировали постоянное совершенствование их инструментов и мастерства. Филиалы BlackCat продолжают злоупотреблять функциональностью объектов групповой политики как для развертывания инструментов, так и для вмешательства в меры безопасности. Злоумышленники, демонстрирующие тонкое понимание Active Directory, могут эффективно злоупотреблять объектами групповой политики для быстрого массового развертывания вредоносных программ. Например, злоумышленники могут попытаться увеличить скорость своих операций, изменив время обновления групповой политики по умолчанию, что, вероятно, сократит промежуток времени между вступлением изменений в силу и возможностью реагирования защитников.
Поскольку BlackCat обычно пытается реализовать схему двойного вымогательства, злоумышленники также используют инструменты как для шифрования данных, так и для кражи. X-Force наблюдала, как злоумышленники использовали ExMatter, инструмент для кражи данных .NET, который был представлен в 2021 году и получил существенное обновление в августе 2022 года. ExMatter используется исключительно одним партнерским кластером программ-вымогателей BlackCat, отслеживаемым Microsoft как DEV-0504. X-Force обнаружил доказательства того, что несколько терабайт данных были эксфильтрированы из среды жертвы в инфраструктуру, контролируемую злоумышленниками. Украденные данные часто публикуются публично на официальном сайте утечки группы в попытке оказать давление на жертв вымогательства.
Наконец, X-Force наблюдала и анализировала развертывание новой версии BlackCat, получившей название Sphynx. Эта версия была впервые анонсирована в феврале 2023 года и представила ряд обновленных возможностей, которые усиливают дейстия группы по уклонению от обнаружения.
Sphynx заметно отличается от предыдущих вариантов. Например, были переработаны аргументы командной строки. Предыдущие варианты использовали параметр –access-token для выполнения. Обновленный вымогатель удаляет этот параметр и добавляет набор более сложных аргументов. Это затрудняет обнаружение, поскольку у защитников нет стандартных команд для поиска.
Кроме того, данные конфигурации представляют собой не формат JSON, а необработанные структуры. Обновленные образцы содержат ненужный код и тысячи зашифрованных строк, что затрудняет статический анализ.
Объявление группы BlackCat указывает на мотивы обновления программы-вымогателя, указывая на то, что программа-вымогатель BlackCat «была полностью переписана с нуля» и что «главным приоритетом этого обновления была оптимизация обнаружения с помощью AV/EDR».
Загрузчик BlackCat Sphynx
Образец примера представляет собой запутанный загрузчик, который при выполнении расшифровывает тысячи строк и свою полезную нагрузку. Функции расшифровки строк находятся в массиве и выполняются снизу вверх.
Расшифрованные строки показывают пути проекта, намекающие на назначение этого компонента. Примечательно, что следующие строки предполагают, что этот компонент является загрузчиком.
bin/loader/src/lib.rs
bin/loader/src/setup.rs
bin/loader/src/payload.rs
bin/loader/src/loader.rs
При расшифровке строк загрузчик расшифровывает полезную нагрузку следующим образом:
Полезная нагрузка подвергается операции XOR с однобайтовым ключом. Результат по-прежнему зашифрован AES.
Загрузчик получает последние 16 байт полезной нагрузки XOR и использует их в шифре AES-128. Считается, что шифр AES основан на коде из следующего репозитория:
https://github.com/RustCrypto/block-ciphers/blob/master/aes/
После расшифровки AES полученный двоичный файл подвергается операции XOR с 16-байтовым ключом.
Результат находится в памяти, отмеченной строкой «полезная нагрузка», за которой следует DWORD, представляющий размер полезной нагрузки.
Полезная нагрузка выполняется в памяти с аргументами командной строки, подобными следующим.
195ToGOF -oAC –AUC -X99odn4 -pdTvb -ewi -vyJtKOOTxBdQ7Ql9
BlackCat Sphynx
После выполнения версия BlackCat Sphynx выполняет следующие действия:
Получает список томов для обхода с помощью API-функции GetVolumePathNamesForVolumeNameW().
Монтирует несмонтированные тома с помощью функции API SetVolumeMountPointW().
Выполняет действия по обнаружению сети для обнаружения дополнительных систем.
Создает именованный канал: \\.\pipe\__rust_anonymous_pipe1__.<processid>.<random_num> с установленным режимом канала PIPE_REJECT_REMOTE_CLIENTS. Вывод таких команд, как vssadmin.exe Удалить Shadows /all /quiet, отправляется в канал.
Создает несколько дочерних процессов с аргументами командной строки, как показано ниже:
2UmS -wGl3yV_X8t5Cck3 -MEX –B0 -lK -_Lec0 -7 -j_LXnE -vwro -XG6511Pvnxdc cdia -JRibtTPA8zwlp -uNoFTcFoS37GYiB0dUh5UC5RvUyp_Dl -Y6TW9vfLA_j -oNPMCKXQnhP -Y0YEr06KkEjzSTKl_YbIvGdaAF6yJY915vCyjyIaLvO6_aBDLNh3LAfNStQBAy7B7Q8hkyQ5rAg5_FyvAk -MIO2mzZh4LFAuYto -PWOuXbGNvW5zFMNr0SdoxbWvX8JhFtE8WF2OSDwhKI8KzIwF7UD18tyOvYeEZ6N6jAMix0IDWQY5PAu80LlPWISgWRqST8QRvSMlbSv -dwdbcxb0xcO0LXlm1_qkq9Avx5Khcy8CwS9Qno55wBlNTEsB6CM1T
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Тэги темы:
Войдите или Зарегистрируйтесь чтобы комментировать.
Комментарии
CoCreateInstance() — вызывается с CLSID {cb8555cc-9128-11d1-ad9b-00c04fd8fdff} (WbemAdministrativeLocator) и IID {dc12a687-737f-11cf-884d-00aa004b2e24} (IWbemClassObject) для создания объекта интерфейса IWbemLocator. .
CoCreateInstance() — вызывается с CLSID {674B6698-EE92-11D0-AD71-00C04FD8FDFF} (WbemContext) и IID {44aca674-e8fc-11d0-a07c-00c04fb68820} (IWbemContext) для создания объекта интерфейса IWbemContext.
WbemAdministrativeLocator:IWbemLocator:ConnectServer() — подключается к пространству имен «ROOT\\CIMV2».
IWbemServices:ExecQuery() — выполняет «SELECT * FROM Win32_ShadowCopy» для получения теневых копий.
Удаляет теневые копии тома, выполняя команду vssadmin.exe Delete Shadows /all /quiet.
Выполняет запрос «SELECT DS_cn, DS_dNSHostName, DS_userAccountControl FROM DS_computer», используя функции COM-объекта WMI. Эта команда извлекает информацию о среде Active Directory.
Создает записку о выкупе с именем, состоящим из буквенно-цифровых символов (например: 0diX0Z.txt). Заметка создается в каждом каталоге, содержащем зашифрованные файлы.
Если указан аргумент командной строки -v, сообщения журнала выводятся на консоль.
Набор инструментов BlackCat
При проведении строкового анализа расшифрованных строк были обнаружены следующие примечательные строки:
Пути предполагают, что образец программы-вымогателя BlackCat содержит больше, чем просто функциональность программы-вымогателя, но может функционировать как «набор инструментов». Дополнительная строка предполагает, что инструменты основаны на инструментах от Impacket.
Если указана командная строка -h вместе с правильными аргументами проверки, на консоль выводится следующий оператор использования.
Этапы атаки программ-вымогателей BlackCat
X-Force наблюдала следующие тактики и методы MITRE ATT&CK в одном или нескольких недавних случаях, связанных с программой-вымогателем BlackCat.
Начальный доступ
Хотя доказательства первоначального вектора доступа не всегда доступны, самым ранним признаком компрометации, скорее всего, было использование злоумышленником действительных учетных данных. Учетные данные часто получают путем заражения распространенными вредоносными программами-похитителями, такими как похитители информации Raccoon и Vidar.
Обнаружение, доступ к учетным данным и повышение привилегий
Оказавшись внутри сети, злоумышленники BlackCat использовали PowerShell и командную строку для сбора информации об учетных записях пользователей, разрешениях и компьютерах домена. Злоумышленники использовали код PowerShell, связанный с «PowerSploit», общедоступной инфраструктурой постэксплуатации PowerShell, для кражи учетных данных с помощью Kerberoasting и смогли получить учетные данные администратора домена.
Уклонение от защиты, настойчивость и боковое движение
Злоумышленники использовали протокол удаленного рабочего стола (RDP) для внутреннего перемещения по сети, включая аутентификацию на контроллерах домена с использованием учетных данных для учетных записей с административными привилегиями. После аутентификации злоумышленники могли вносить изменения, которые расширяли и укрепляли их доступ в сети.
На этом этапе злоумышленники изменили объект групповой политики домена по умолчанию (GPO) для достижения двух основных целей:
Отключить элементы управления безопасностью/антивирус. Злоумышленники изменили параметры политики безопасности, отключив системный мониторинг, защиту и уведомления, а также отключили Microsoft Defender.
Разверните и запустите ExMatter и BlackCat: Злоумышленники отредактировали настройки GPO домена по умолчанию, чтобы распространить и запустить инструменты злоумышленника для эксфильтрации данных и программ-вымогателей. Исполняемые файлы вредоносных программ были помещены в каталог SYSVOL контроллера домена, в результате чего файлы распространялись на все остальные контроллеры домена и, соответственно, на все присоединенные компьютеры. Тот же объект групповой политики также создал две запланированные задачи для постоянного выполнения соответствующей полезной нагрузки вредоносного ПО.
Эксфильтрация и воздействие:
Злоумышленники BlackCat извлекали данные из целевых сетей с помощью ExMatter перед запуском программы-вымогателя. Это вредоносное ПО устанавливает себя как службу в разделе системного реестра в следующем ключе: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\bam\State\UserSettings. Затем ExMatter отправляет украденные данные в инфраструктуру злоумышленника, используя безопасный протокол передачи файлов (порт 22) и WebDAV (порт 80). Было замечено, что ExMatter передает файлы непосредственно в инфраструктуру, контролируемую злоумышленниками, вместо того, чтобы размещать или архивировать данные перед эксфильтрацией.
По завершении эксфильтрации данных Exmatter запускает один из следующих процессов, чтобы удалить все свои следы:
Эта команда «плавит» исходный исполняемый файл в три байта:
30 0D 0A
В тех случаях, когда злоумышленники BlackCat добивались успеха, операции приводили к шифрованию целевых систем. Помимо воздействия на системы Windows, было замечено, что филиалы BlackCat используют Linux-версию программы-вымогателя BlackCat: полезная нагрузка была развернута на хостах ESXIi с виртуальными машинами с использованием WinSCP, после чего злоумышленники получили доступ к хостам с помощью PuTTY для запуска программы-вымогателя. Дополнительные сведения о поведении и IOC, связанных с BlackCat, см. в профиле вредоносного ПО IBM X-Force BlackCat.
Знай своего противника
X-Force оценивает, что участники, связанные с BlackCat и другими группами программ-вымогателей, вероятно, попытаются увеличить скорость и скрытность своих операций, используя новые средства для выполнения различных этапов своих атак. Непрерывное совершенствование методов борьбы с программами-вымогателями BlackCat, а также дизайн вредоносных программ BlackCat и ExMatter подчеркивают понимание злоумышленником целевых систем и процессов защиты, а также потенциальных точек, в которых они могут быть использованы для получения преимущества злоумышленником.
Следующие рекомендации могут помочь в обнаружении двух наиболее примечательных методов, описанных в этом блоге:
Злоумышленное использование объектов групповой политики. Объекты групповой политики образуют мощный инструмент управления, используемый для применения и обеспечения соблюдения параметров политики безопасности для клиентов Active Directory. Групповые политики могут применяться ко всем объектам домена, поэтому любая учетная запись, авторизованная для создания или редактирования групповых политик, автоматически применяется для воздействия на состояние безопасности всего домена Active Directory.
Рекомендуется, чтобы каждый административный интерфейс тщательно контролировался и детально настраивался с надлежащим контролем доступа. Кроме того, предполагается, что только несколько учетных записей (от двух до трех) управляют администрированием объектов групповой политики с выделенных и защищенных административных хостов. Криминалистические инструменты, такие как ADTimeline и ADExport, также могут помочь в выявлении конкретных вредоносных событий модификации GPO, а также контроллера домена, на котором они были выполнены.
Развертывание инструментов эксфильтрации (таких как ExMatter): организации могут контролировать выполнение программного обеспечения в клиентских системах на основе атрибутов, таких как путь к исполняемому файлу, хэш и издатель. В большинстве организаций разрешенный список можно использовать для обеспечения согласованности и включения предупреждений при обнаружении аномалии. Это позволит запускать только авторизованное программное обеспечение и предотвратит выполнение вредоносного программного обеспечения или инструментов злоумышленников без явных правил исключения.
https://securityintelligence.com/posts/blackcat-ransomware-levels-up-stealth-speed-exfiltration/
BlackCat/ALPHV начал использовать новый инструмент под названием «Munchkin», который использует виртуальные машины для скрытного развертывания шифраторов на сетевых устройствах.
Munchkin позволяет BlackCat работать на удаленных системах или шифровать удаленные сетевые ресурсы Server Message Block (SMB) или Common Internet File (CIFS).
Введение Munchkin в уже обширный и продвинутый арсенал BlackCat делает RaaS более привлекательным для киберпреступников, стремящихся стать партнерами программ-вымогателей.
Скрытие в VirtualBox
Обнаружено, что новый инструмент Munchkin от BlackCat представляет собой настроенный дистрибутив Alpine OS Linux, который поставляется в виде ISO-файла.
После компрометации устройства злоумышленники устанавливают VirtualBox и создают новую виртуальную машину, используя ISO-образ Munchkin.
Эта виртуальная машина Munchkin включает в себя набор сценариев и утилит, которые позволяют злоумышленникам сбрасывать пароли, распространять их по сети, создавать полезную нагрузку шифратора BlackCat «Sphynx» и выполнять программы на сетевых компьютерах.
При загрузке он меняет пароль root на пароль, известный только злоумышленникам, и использует утилиту tmux для запуска двоичного файла вредоносной программы на основе Rust с именем «controller», который начинает загружать сценарии, использованные в атаке.
«Controller» использует связанный файл конфигурации, который предоставляет токены доступа, учетные данные и секреты аутентификации, а также директивы конфигурации, черные списки папок и файлов, задачи для запуска и хосты, на которых будет осуществляться шифрование.
Эта конфигурация используется для создания пользовательских исполняемых файлов шифрования BlackCat в каталоге /payloads/, которые затем передаются на удаленные устройства для шифрования файлов или шифрования сетевых ресурсов SMB и CIFS.
Распространенная проблема, с которой сталкиваются жертвы программ-вымогателей и киберпреступники, заключается в том, что образцы обычно просачиваются через сайты анализа вредоносного ПО. Анализ образцов программ-вымогателей позволяет исследователям получить полный доступ к чату переговоров между бандой вымогателей и ее жертвой.
Чтобы предотвратить это, партнеры предоставляют токены доступа к сайту переговоров Tor во время выполнения при запуске. Таким образом, невозможно получить доступ к переговорному чату жертвы, даже если у нее есть доступ к образцу, использованному в атаке.
В связи с этим злоумышленники предупреждают филиалы о том, что они должны удалить виртуальные машины и ISO-образы Munchkin, чтобы предотвратить утечку этих токенов доступа.
Разработчики также включают инструкции и советы по использованию «Контроллера» для отслеживания хода атаки и запуска задач.
Munchkin облегчает филиалам программы-вымогателя BlackCat выполнение различных задач, включая обход решений безопасности, защищающих устройство жертвы. Это связано с тем, что виртуальные машины обеспечивают уровень изоляции от операционной системы, что усложняет обнаружение и анализ для программного обеспечения безопасности.
Кроме того, выбор ОС Alpine обеспечивает небольшой цифровой след, а автоматизированные операции инструмента уменьшают необходимость ручного вмешательства и шум от команд.
Наконец,
BlackCat появился в конце 2021 года как сложная программа-вымогатель на базе Rust, пришедшая на смену BlackMatter и Darkside.
До сих пор RaaS следовал по успешной траектории, регулярно внедряя расширенные функции, такие как гибко настраиваемое прерывистое шифрование, API утечки данных, встраивание Impacket и Remcom, шифраторы с поддержкой пользовательских учетных данных, подписанные драйверы ядра и обновления инструмента кражи данных.
Среди известных жертв BlackCat в 2023 году — Окружной суд Флориды, MGM Resorts, Motel One, Seiko, Estee Lauder, HWL Ebsworth, Western Digital и Constellation Software.
https://www.bleepingcomputer.com/news/security/blackcat-ransomware-uses-new-munchkin-linux-vm-in-stealthy-attacks/