Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Microsoft sta avvertendo di una nuova versione del ransomware Sphynx sviluppata e gestita dalla cybergang BlackCat (alias ALPHV), uno dei gruppi di ransomware più pericolosi al mondo. La nuova versione include gli strumenti di rete Impacket e Remcom, che offrono agli aggressori la possibilità di diffondere rapidamente il ransomware attraverso una rete aziendale compromessa.
Il ransomware Sphynx è apparso originariamente nel febbraio di quest’anno, quindi è stato aggiornato ad aprile. L’obiettivo di questo aggiornamento era ottimizzare il rilevamento antivirus e riprogettare completamente il codice di crittografia.
Poco dopo, gli esperti di IBM Security X-Force hanno condotto un’analisi dettagliata del nuovo ransomware e hanno avvertito che si era, di fatto, trasformato in uno strumento a tutti gli effetti per gli attacchi informatici.
Questa conclusione è stata fatta dopo la scoperta dell’utilità di rete Impacket nel codice del programma. Viene spesso utilizzato dagli aggressori per aumentare i privilegi e attraversare lateralmente le reti compromesse.
In una recente serie di post sul blog, il team di Microsoft Threat Intelligence ha analizzato una versione più recente di Sphynx. I ricercatori confermano che gli aggressori stanno effettivamente utilizzando il toolkit Impacket, che consente loro di navigare rapidamente nella rete della vittima e distribuire il ransomware su altri dispositivi.
Impacket è descritto come un insieme di classi Python open source per lavorare con i protocolli di rete. Più spesso, tuttavia, questo toolkit viene utilizzato da pentester e criminali informatici per attraversare la rete lateralmente dopo aver ottenuto l’accesso iniziale. Usando Impacket, puoi anche ottenere privilegi elevati nel sistema, intercettare autorizzazioni NTLM, creare shell remote e molto altro.
Oltre a Impacket, all’ultima versione di Sphynx è stato aggiunto anche lo strumento Remcom. È una shell remota leggera che viene utilizzata per eseguire comandi su altri computer sulla rete della vittima.
Trasformare il ransomware BlackCat in un vero e proprio strumento post-sfruttamento consente agli aggressori di lanciare attacchi molto più velocemente e coprire quanti più dispositivi possibile sulla rete dell’organizzazione vittima. Tali innovazioni complicano seriamente il compito della difesa informatica per i professionisti della sicurezza.
Gli operatori BlackCat sono da sempre considerati una delle bande criminali tecnologicamente più avanzate. Sviluppano costantemente i loro strumenti e modificano le tattiche per eseguire attacchi. E il recente aggiornamento di Sphynx ne è solo un’altra conferma.
Le aziende dovrebbero stare all’erta e adottare misure per rilevare tempestivamente potenziali compromissioni, nonché bloccare rapidamente la diffusione della minaccia attraverso la rete interna.
