L’operazione ransomware BlackCat/ALPHV, negli ultimi giorni, ha palesato un cambio di strategia che sta preoccupando gli esperti di sicurezza.
Stiamo parlando dell’introduzione di un nuovo strumento, conosciuto come Munchkin, capace di utilizzare macchine virtuali per distribuire furtivamente crittografi sui dispositivi vittima.
Munchkin consente a BlackCat di essere eseguito su sistemi remoti o di effettuare operazioni di crittografia sui dispositivi infettati. L’introduzione di questo strumento nell’arsenale già ampio e avanzato di BlackCat, rende questo RaaS ancora più attraente per i criminali informatici che cercano di diventare affiliati di questo ransomware.
Unit 42 di Palo Alto Networks ha scoperto che il nuovo strumento Munchkin di BlackCat non è altro che una distribuzione Linux personalizzata di Alpine OS fornita come file ISO. Dopo aver compromesso un dispositivo, gli autori delle minacce installano VirtualBox e creano una nuova macchina virtuale utilizzando l’ISO di Munchkin.
BlackCat, con Munchkin è ancora più temibile
Questa macchina virtuale Munchkin include una suite di script e utility che consentono agli autori delle minacce di scaricare password, diffonderle lateralmente sulla rete, creare un payload di crittografia BlackCat Sphynx ed eseguire programmi sui computer di rete.
All’avvio, cambia la password di root in una conosciuta solo dagli aggressori e sfrutta l’utility tmux per eseguire un codice binario malware (basato su Rust) chiamato controller che inizia a caricare gli script utilizzati nell’attacco.
L’appena citato controller utilizza il file di configurazione in bundle, che fornisce token di accesso, credenziali della vittima, nonché direttive di configurazione, blocklist di cartelle/file e non solo.
Questa configurazione viene utilizzata per generare file eseguibili personalizzati del codificatore BlackCat nella directory /payloads/, che vengono poi inviati ai dispositivi remoti per crittografare file o svolgere altre azioni malevole.
Di fatto, l’introduzione di Munchkin segna un ulteriore miglioria che va a rendere ancora più pericoloso uno dei ransomware più famigerati sulla scena mondiale.