A közelmúltban több támadás is történt, amelyet a szakértők a BlackCat zsarolóvírus kontójára írnak. A Sophos kiberbiztonsági vállalat legfrissebb jelentése szerint a vírus továbbra is a javítatlan tűzfalak és VPN szolgáltatások használva jut be a számítógépekbe, azonban egy új támadófegyvert is bevetett. A Brute Ratel elnevezésű behatolásvizsgálati (pentest) eszköz hasonló, de kevésbé ismert, mint a Cobalt Strike, amely a távolból képes átvenni az irányítást a gépünk felett. Az eszköz lehetővé tette, hogy sebezhető hálózatokba és rendszerekben hatoljanak be világszerte, különböző iparágakban.
A BlackCat ransomware először 2021. novemberében jelent meg "ransomware, mint szolgáltatás" üzletág legújabb vezetőjeként és gyorsan felkeltette a figyelmet a szokatlan kódnyelvével, a Rusttal. A célba vett szervezetek a Sophos Rapid Response-hoz fordultak, és öt, BlackCathez köthető támadás kivizsgálását kérték. Mint a jelentés rámutatott, ezek közül
négy incidens során a kezdeti fertőzés különböző tűzfalgyártók termékei sebezhetőségeinek kihasználásával történt.
Az egyik ilyen sebezhetőség 2018-ból származott, egy másik tavaly jelent meg. Miután a támadók a hálózaton belül voltak, meg tudták szerezni az ezeken a tűzfalakon tárolt VPN hitelesítő adatokat, hogy hozzáféréssel rendelkező felhasználóként jelentkezzenek be, majd távoli asztal protokoll (RDP) használatával a rendszerek között mozogjanak. A korábbi BlackCat incidensekhez hasonlóan most is nyílt forráskódú és kereskedelmi forgalomban kapható eszközöket használtak a támadók. Ezek közé tartozik például a TeamViewer, az nGrok, a Cobalt Strike, és a Brute Ratel.
Azonban a korábbi támadásokkal ellentétben a mostaniaknak nem nem volt egyértelmű mintázata.
Ezek az Egyesült Államokban, Európában és Ázsiában fordultak elő, ráadásul különböző iparági szegmensek szereplőinél. A célba vett vállalatok azonban osztoztak bizonyos környezeti sebezhetőségeken, amelyek egyszerűbbé tették a támadók dolgát. A cégek elavult rendszereket használtak, hiányzott a VPN-ekhez használt többlépcsős azonosítás, és a hálózati struktúra is lapos volt, ami megkönnyítette a vírus terjedését.
Amit mostanában látunk a BlackCat és más támadások kapcsán, az az, hogy az elkövetők nagyon hatékonyan és eredményesen végzik a munkájukat. Bevált és biztos módszereket használnak, mint a sebezhető tűzfalak és VPN-ek támadása, mert tudják, hogy ezek még mindig működnek. De innovációt is mutatnak a biztonsági rendszerek kikerülése érdekében, mint például az újabb Brute Ratel C2 post-exploitation keretrendszerre való váltással a támadásaik során
- mondta Christopher Budd, a Sophos fenyegetéskutató részlegének menedzsere. Mint mondta, a közös nevező ezekben a támadások az, hogy könnyű őket végrehajtani. A kutatás kiemeli, hogy milyen fontos a bevált biztonsági gyakorlatok követése - ezek ugyanis még mindig ütőképesek a támadások megelőzése és meghiúsítása terén, még akkor is, ha több támadás ér egyetlen hálózatot. A kutatással egy időben a cég egy útmutatót is közzétett, amely segíthet a biztonsági csapatoknak megelőzni az ehhez hasonló, nGrok eszközzel történő visszaéléseket.