Вымогатель BlackCat взламывает хранилище Azure с помощью шифровальщика Sphynx

Операторы программы-вымогателя BlackCat (ALPHV) начали использовать украденные учетные записи Microsoft и шифратор Sphynx для шифрования облачного хранилища Azure жертв.

Вымогатель BlackCat взламывает хранилище Azure с помощью шифровальщика Sphynx. Фото: СС0

В ходе расследования недавнего взлома сотрудники службы реагирования на инциденты Sophos X-Ops обнаружили, что злоумышленники использовали новый вариант Sphynx с дополнительной поддержкой применения пользовательских учетных данных.

Получив доступ к учетной записи Sophos Central с помощью украденного одноразового пароля (OTP), хакеры отключили защиту от несанкционированного доступа и изменили политику безопасности. Данные действия стали возможны после кражи OTP из хранилища LastPass жертвы с помощью расширения LastPass Chrome.

Впоследствии они зашифровали системы клиента Sophos и удаленное облачное хранилище Azure, а также добавили расширение .zk09cvt ко всем заблокированным файлам. В общей сложности операторам программ-вымогателей удалось успешно зашифровать 39 учетных записей хранилища Azure.

Они проникли на портал Azure жертвы, используя украденный ключ, который предоставил им доступ к целевым учетным записям хранения. Ключи, использованные в атаке, были внедрены в двоичный файл программы-вымогателя после кодирования с использованием Base64.

Во время взлома злоумышленники также использовали несколько инструментов удаленного мониторинга и управления (RMM), таких как AnyDesk, Splashtop и Atera.

Sophos обнаружила вариант Spynx в марте 2023 года во время расследования утечки данных, которая имела сходство с другой атакой, описанной в отчете IBM-Xforce. Документ был опубликован в мае. Сообщается, что в обоих случаях для извлечения украденных данных использовался инструмент ExMatter.

В прошлом месяце команда Microsoft также обнаружила, что новый шифратор Sphynx включает в себя хакерский инструмент Remcom и сетевую структуру Impacket для горизонтального перемещения по взломанным сетям.

Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме