Cyberthreat.id – Peneliti Keamanan dari Symantec, baru-baru ini melaporkan bahwa ransomware BlackCat diketahui telah memperbarui sejumlah fitur untuk meningkatkan kemampuan alat eksfiltrasi data yang digunakan untuk serangan pemerasan ganda.

BlackCat merupakan salah satu kelompok ransomware yang dianggap sebagai penerus Darkside dan BlackMatter dan merupakan salah satu operasi Ransomware-as-a-service (RaaS) yang paling canggih dan secara teknis paling canggih.

Dikutip dari Bleeping Computer, peneliti menyebutkan bahwa akhir-akhir ini BlackCat Ransomware sedang fokus pada alat yang digunakan untuk mengekstrak data dari sistem yang disusupi, persyaratan penting untuk melakukan serangan pemerasan ganda. Alat tersebut bernama Exmatter, yang sudah digunakan sejak November 2021 dan diperbarui secara besar-besaran pada Agustus 2022.

Perubahan tersebut seperti mengekstrak file dalam bentuk PDF, DOC, DOCX, XLS, PNG, JPG, JPEG, TXT, BMP, RDP, SQL, MSG, PST, ZIP, RTF, IPT, dan DWG, menambahkan FTP sebagai opsi eksfiltrasi selain SFTP dan WebDav. Alat tersebut juga menawarkan opsi untuk membuat laporan yang mencantumkan semua file yang diproses.

Bahkan, alat tersebut memiliki fitur yang bisa memberikan opsi untuk merusak file yang diproses, menambahkan opsi konfigurasi keluar dan menghapus dirinya sendiri menghapus dukungan untuk Socks5. Serta pemfaktoran ulang kode berat yang mengimplementasikan fitur-fitur yang ada secara lebih sembunyi-sembunyi untuk menghindari deteksi.

“Tambahan terbaru lainnya untuk kapasitas pencurian informasi BlackCat adalah penyebaran malware baru yang disebut "Eamfo," yang secara eksplisit menargetkan kredensial yang disimpan dalam cadangan Veeam,” kata peneliti.

Peneliti menjelaskan, alat tersebut bisanya digunakan untuk menyimpan kredensial ke pengontrol domain dan layanan cloud sehingga pelaku ransomware dapat menggunakannya untuk infiltrasi lebih dalam dan pergerakan lateral. Eamfo akan terhubung ke database Veeam SQL dan mencuri kredensial cadangan dengan kueri SQL.

Tidak hanya itu saja, para peneliti juga mencatat bahwa operasi BlackCat terlihat menggunakan utilitas anti-rootkit lama yang dipanggil untuk menghentikan proses antivirus.

Sebagai informasi, pada Juni 2022, BlackCat memperkenalkan dukungan untuk mengenkripsi file pada arsitektur ARM dan mode untuk mengenkripsi dalam mode aman Windows dengan atau tanpa jaringan.

Pada saat itu, geng juga menciptakan sumber online khusus di mana orang dapat mencari data curian mereka untuk meningkatkan tekanan pada perusahaan yang dilanggar.

Terbukti bahwa BlackCat terus berkembang dengan alat baru, peningkatan, dan strategi pemerasan untuk membuat operasi RaaS lebih efektif dan efisien.

Symantec melaporkan bahwa operator BlackCat mengusir afiliasi yang tidak seproduktif yang mereka inginkan, menyarankan mereka mencari kolaborasi dengan program RaaS tingkat rendah.

Para peneliti juga melihat mantan afiliasi Conti pindah ke BlackCat/ALPHV setelah geng ransomware Conti menutup operasi mereka. Penutupan ini telah menyebabkan masuknya penyerang berpengalaman yang dengan cepat dapat meluncurkan serangan baru di bawah operasi baru.