Cybersecurity-Forscher haben weitere Verbindungen zwischen den Ransomware-Familien BlackCat (auch bekannt als AlphaV) und BlackMatter aufgedeckt, von denen die erstgenannte nach einer internationalen Untersuchung im vergangenen Jahr als Ersatz auftauchte.
„Zumindest einige Mitglieder der neuen BlackCat-Gruppe haben Verbindungen zur BlackMatter-Gruppe, da sie ein benutzerdefiniertes Exfiltrationstool modifiziert und wiederverwendet haben […], das bisher nur bei BlackMatter-Aktivitäten beobachtet wurde“, so die Kaspersky-Forscher in einer neuen Analyse.
Das Tool mit dem Namen Fendr wurde nicht nur auf weitere Dateitypen erweitert, sondern von der Bande auch ausgiebig genutzt, um im Dezember 2021 und Januar 2022 vor der Verschlüsselung Daten aus Unternehmensnetzwerken zu stehlen – eine beliebte Taktik, die als doppelte Erpressung bezeichnet wird.
Die Ergebnisse kommen weniger als einen Monat, nachdem die Talos-Forscher von Cisco Überschneidungen in den Taktiken, Techniken und Verfahren (TTPs) von BlackCat und BlackMatter festgestellt und die neue Ransomware-Variante als einen Fall von „vertikaler Geschäftserweiterung“ beschrieben haben.
BlackCat fällt aus zwei Gründen auf: Es handelt sich um einen angeschlossenen Akteur, der in der Vergangenheit BlackMatter eingesetzt hat, und seine Malware ist in Rust geschrieben, was darauf hindeutet, dass Bedrohungsakteure zunehmend auf Programmiersprachen mit Cross-Compilation-Fähigkeiten umsteigen.
Die Gruppe „stellt Infrastruktur, Malware-Samples, Lösegeldverhandlungen und wahrscheinlich auch Bargeld zur Verfügung“, so die Forscher. „Jeder, der bereits Zugang zu kompromittierten Umgebungen hat, kann die Samples von BlackCat nutzen, um ein Ziel zu infizieren.
Sobald die Malware ausgeführt wird, holt sie sich die MachineGuid des Windows-Systems aus der Registrierung – ein eindeutiger Schlüssel, der bei der Installation des Betriebssystems erzeugt wird – sowie dessen UUID, bevor sie die Benutzerkontensteuerung (UAC) umgeht, Schattensicherungen löscht und den Verschlüsselungsprozess startet.
„Diese Verwendung eines modifizierten Fendr, auch bekannt als ExMatter, stellt einen neuen Datenpunkt dar, der BlackCat mit früheren BlackMatter-Aktivitäten verbindet“, so die Forscher.
„Die Modifikation dieses wiederverwendeten Tools zeigt ein ausgefeilteres Planungs- und Entwicklungsschema zur Anpassung der Anforderungen an die Zielumgebungen, das für ein reifes kriminelles Unternehmen charakteristisch ist.