"Entre algunos de los desarrollos más notables ha sido el uso de una nueva versión de la herramienta de exfiltración de datos Exmatter y el uso de Eamfo, un malware de robo de información que está diseñado para robar las credenciales almacenadas por el software de copia de seguridad Veeam", dijeron los investigadores de Symantec en un nuevo informe. BlackCat, también conocido por los nombres ALPHV y Noberus, se atribuye a un adversario rastreado como Coreid (también conocido como FIN7, Carbanak o Carbon Spider) y se dice que es un sucesor renombrado de DarkSide y BlackMatter, que cerraron sus puertas el año pasado tras una serie de ataques de alto perfil, incluyendo el de Colonial Pipeline.
Al igual que otros grupos de ransomware conocidos, se sabe que el actor de la amenaza lleva a cabo una operación de ransomware como servicio (RaaS), en la que sus desarrolladores principales solicitan la ayuda de afiliados para llevar a cabo los ataques a cambio de una parte de los ingresos ilícitos. ALPHV es también una de las primeras cepas de ransomware programadas en Rust, una tendencia que ha sido adoptada por otras familias como Hive y Luna en los últimos meses para desarrollar y distribuir malware multiplataforma.
La evolución de las tácticas, herramientas y procedimientos (TTP) del grupo se produce más de tres meses después de que se descubriera que la banda de ciberdelincuentes explotaba servidores Microsoft Exchange sin parches como conducto para desplegar el ransomware.
Las actualizaciones posteriores de su conjunto de herramientas han incorporado nuevas funcionalidades de cifrado que permiten al malware reiniciar las máquinas Windows comprometidas en modo seguro para eludir las protecciones de seguridad.
"En una actualización de julio de 2022, el equipo añadió la indexación de los datos robados, lo que significa que sus sitios web de fugas de datos pueden ser buscados por palabra clave, tipo de archivo y más", dijeron los investigadores.
Los últimos refinamientos se refieren a Exmatter, una herramienta de exfiltración de datos utilizada por BlackCat en sus ataques de ransomware. Además de recolectar archivos sólo con un conjunto específico de extensiones, la versión renovada genera un informe de todos los archivos procesados e incluso corrompe los archivos.
En el ataque también se ha desplegado un malware de robo de información llamado Eamfo, diseñado para desviar las credenciales almacenadas en el software de copia de seguridad Veeam y facilitar la escalada de privilegios y el movimiento lateral.
Los hallazgos son otra indicación de que los grupos de ransomware son expertos en adaptar y refinar continuamente sus operaciones para seguir siendo eficaces el mayor tiempo posible.
"Su continuo desarrollo también subraya el enfoque del grupo en el robo de datos y la extorsión y la importancia de este elemento de los ataques para los actores de ransomware ahora", dijeron los investigadores.
También se ha observado recientemente que BlackCat utiliza el malware Emotet como vector de infección inicial, por no hablar de la afluencia de nuevos miembros del ya desaparecido grupo de ransomware Conti tras la retirada de este último del panorama de amenazas este año.
La desaparición de Conti también ha ido acompañada de la aparición de una nueva familia de ransomware apodada Monti, un grupo "doble" que se ha encontrado suplantando a las TTP del equipo Conti y sus herramientas.
La noticia de que BlackCat ha añadido una serie de herramientas renovadas a sus ataques llega en el momento en que un desarrollador asociado al malware de cifrado de archivos LockBit 3.0 (también conocido como LockBit Black) filtró el constructor utilizado para crear versiones a medida, lo que hace temer que pueda dar lugar a un abuso más generalizado por parte de otros actores menos cualificados.