Microsoft Memperingatkan Versi Ransomware BlackCat Baru

Microsoft telah mengidentifikasi iterasi baru dari ransomware BlackCat yang menggabungkan kerangka kerja jaringan Impacket dan alat peretasan Remcom. Penambahan ini memungkinkan ransomware untuk menyebar secara lateral dalam jaringan yang dikompromikan.

Penggabungan Alat Impacket

Ransomware BlackCat yang diperbarui sekarang menyertakan alat kerangka komunikasi sumber terbuka , Impacket. Alat ini digunakan oleh pelaku ancaman untuk membantu gerakan lateral dalam lingkungan sasaran. Seperti yang dinyatakan Microsoft di X (Twitter), “Alat Impacket memiliki dumping kredensial dan modul eksekusi layanan jarak jauh yang dapat digunakan untuk penerapan luas ransomware BlackCat di lingkungan target.”

Penyematan Remcom Hacktool

Selanjutnya, versi BlackCat ini memiliki Remcom hacktool yang disematkan langsung di executable-nya. Alat ini memungkinkan eksekusi kode jarak jauh. Selain itu, file berisi kredensial hardcoded dari target yang disusupi Kredensial ini digunakan oleh pelaku untuk pergerakan lateral dan penyebaran lebih lanjut dari ransomware. Seperti yang disebutkan dalam pengumuman resmi,”Versi BlackCat ini juga memiliki Remcom hacktool yang tertanam dalam executable untuk eksekusi kode jarak jauh. File ini juga berisi target yang dikompromikan dengan hardcoded kredensial yang digunakan pelaku untuk pergerakan lateral dan penerapan ransomware lebih lanjut.”

Microsoft telah mengamati versi baru ransomware BlackCat yang digunakan dalam kampanye baru-baru ini. Versi ini mencakup alat kerangka komunikasi sumber terbuka Impacket, yang digunakan pelaku ancaman untuk memfasilitasi gerakan lateral di lingkungan target.

— Microsoft Threat Intelligence (@MsftSecIntel) 17 Agustus 2023

Ransomware sebagai Penawaran Layanan

Dioperasikan dengan model ransomware-as-a-service (RaaS) oleh sindikat kejahatan dunia maya berbahasa Rusia ALPHV, BlackCat, juga dikenal sebagai “Noberus” pertama kali diidentifikasi pada November 2021. Dengan cepat menjadi terkenal, menjadi salah satu ancaman malware paling canggih dan mengancam pada tahun 2021 dan 2022.

Menariknya , Aktivitas BlackCat mengalami penurunan yang signifikan pada akhir tahun 2022, dengan penurunan infeksi yang dilaporkan sebesar 28%. Malware ini menonjol sebagai malware utama pertama yang dikodekan dalam bahasa pemrograman Rust. Rust mendapatkan daya tarik di komunitas teknologi karena performa dan memorinya yang mengesankan fitur keamanan. Selain itu, BlackCat menunjukkan keserbagunaannya dengan mampu menyusup ke sistem operasi Windows dan Linux.

Modus operandi BlackCat sangat mengkhawatirkan. Ini menggunakan strategi pemerasan tiga cabang: menuntut uang tebusan untuk mendekripsi file yang terinfeksi, mengancam untuk melepaskan data yang dicuri, dan memperingatkan potensi serangan denial of service (DoS). Antara November 2021 dan September 2022, sekitar 200 organisasi perusahaan menjadi korban BlackCat. Terutama, targetnya adalah perusahaan di sektor keuangan, manufaktur, hukum, dan layanan profesional. Namun, tidak ada industri yang tidak tersentuh oleh jangkauan BlackCat.

Penyelidikan lebih lanjut telah mengungkapkan hubungan antara BlackCat dan jenis ransomware lainnya, yaitu BlackMatter dan DarkSide, dalam hal kode sumber dan basis pengguna. Operator di belakang BlackCat telah secara aktif merekrut platform klandestin seperti XSS, Exploit Forum, dan RAMP5 di darknet, mencari afiliasi baru untuk memperluas jaringan jahat mereka.

Tindakan Perlindungan dan Mitigasi

Microsoft 365 Defender diperlengkapi untuk mendeteksi aktivitas berbahaya dan komponen yang terkait dengan serangan ransomware BlackCat. Dengan mengaktifkan aturan pengurangan permukaan serangan, pengguna dapat mencegah teknik serangan umum. Untuk informasi mendetail tentang cakupan deteksi, mitigasi, dan panduan berburu terkait BlackCat dan keluarga ransomware terkait, Microsoft mengarahkan pelanggannya ke platform resmi mereka: Microsoft Defender Threat Intelligence dan Microsoft 365 Defender.