Il ransomware BlackCat continua a fare parlare di sé a livello globale. Questo tipo di minaccia, attiva da un paio di anni, è ben noto per gli svariati attacchi a contesti come sanità, enti governativi e istruzione.
La sua fama è però dovuta in gran parte anche alla sua rapida e imprevedibile evoluzione. Il gruppo dietro questa software malevolo, infatti, è impegnato a migliorare costantemente le potenzialità del ransomware, tanto che nelle ultime versioni questo risulta più rapido in fase di esfiltrazione e più difficile da individuare.
BlackCat è un sofisticato Ransomware-as-a-Service (RaaS) che, come da prassi, crittografando i dati delle vittime e chiedendo un riscatto per lo sblocco degli stessi.
Nulla di particolarmente innovativo, se non fosse per alcune caratteristiche che rendono BlackCat unico nel suo genere.
BlackCat, tripla estorsione e un nuovo linguaggio di programmazione
Il ransomware di cui stiamo parlando ha un approccio unico nei confronti dei metodi di diffusione e anche il comportamento dei cybercriminali alle sue spalle è anomalo.
Gli stessi, infatti, non utilizzano Darknet o il Dark Web per comunicare con il resto del mondo, prediligendo invece un sito Web “in chiaro”.
Le crew alle spalle di BlackCat, inoltre, è stata la prima ad adottare la tripla estorsione, ovvero una richiesta extra alla vittima, proprio per evitare di rendere pubblico l’attacco subito.
Perché questo ransomware è più pericoloso rispetto al passato? Nel corso del 2022, questo è stato ricostruito utilizzando il linguaggio di programmazione noto come Rust. Ciò ha lasciato spiazzati i tradizionali sistemi di prevenzione, rendendo molto più elusivo BlackCat.
La versione Sphynx di BlackCat è stata annunciata a febbraio
L’ultimo grande aggiornamento risale allo scorso febbraio, con una versione nota come Sphynx.
Questa risulta ancora più difficile da individuare ma soprattutto agisce in maniera diversa per quanto concerne l’esfiltrazione dati. A tal proposito, infatti, BlackCat risulta ancora più rapido e “pulito” nel furto di file.
Prima di lanciare l’attacco ransomware vero e proprio, infatti, BlackCat estrae i dati della vittima utilizzando ExMatter. Questo malware agisce sui registri di sistema, facilitando il trasferimento.
Una volta che è avvenuto il furto, ExMatter avvia un processo di rimozione delle tracce e di autodistruzione per scomparire nel nulla.