El proveedor de seguridad Sophos ha identificado una última variante del ransomware BlackCat furioso durante dos años llamado Sphynx, con capacidad de cifrado para cuentas de Microsoft Azure Storage. "Sophos vio por primera vez la variante Sphynx en marzo, poco después del lanzamiento de la nueva versión". explicado Sofos. El proveedor indicó que contó con información cruzada de la división de ciberseguridad XForce de IBM para su análisis desde mayo pasadoy también descubrió que esta versión estaba equipada con la herramienta de exfiltración ExMatter. BlackCat está en el punto de mira en este momento, la banda cibernética ALPHV está trabajando habiéndose distinguido también en el hackeo de MGM Resorts.

“Los atacantes pudieron acceder al portal Azure del cliente, donde obtuvieron la clave de Azure necesaria para acceder mediante programación a la cuenta de almacenamiento. El adversario codificó las claves usando base-64 y las insertó en el binario del ransomware con líneas de comando de ejecución según las instrucciones”, dijo Sophos. Se apuntó a un total de 39 cuentas de almacenamiento de Azure con cifrado exitoso. Para lograr su objetivo como parte de esta intrusión, los piratas informáticos lograron tomar el control de varias herramientas de software de gestión de TI (AnyDesk, Splashtop y Atera) y acceder a la cuenta de Sophos Central del objetivo utilizada por los clientes para gestionar sus productos de este editor. Después de lo cual pudieron desactivar la protección contra intrusiones y modificar las políticas de seguridad.

Claves más complejas y conjunto de argumentos utilizados.

Estas acciones fueron posibles después de obtener con éxito una contraseña de un solo uso (OTP) almacenada en la bóveda de contraseñas de LastPass de la víctima utilizando la extensión LastPass Chrome. “Luego, el adversario modificó las políticas de seguridad y deshabilitó la protección contra manipulaciones en Central antes de cifrar los sistemas del cliente y las cuentas remotas de Azure Storage a través del ejecutable del ransomware IzBEIHCMxAuKmis6.exe con la extensión .zk09cvt. Como señaló IBM, un cambio notable es que Sphynx no tiene el parámetro -access-token como las variantes anteriores, pero ahora usa claves como -8UwUubTNYzygbQPJF -x_ -NI3_zn6Jr -U8Z -hedu5PO -CBJC7jzy -HFVmgW -DK3rdo e incluye un conjunto de argumentos”, advirtió Sophos.

Tenga en cuenta que la muestra de Sphynx también incluyó la herramienta de código abierto ImPacket y módulos como psexec y secretdump utilizados para el volcado de credenciales y la propagación de redes, que Microsoft ya lo había detectado el pasado agosto.