Il ransomware BlackCat presenta la sua ultima variante, Sphynx, con funzionalità avanzate per eludere il rilevamento e l’analisi
BlackCat, una delle principali famiglie di ransomware, ha lanciato la sua ultima versione del malware chiamata Sphynx, che include funzionalità avanzate per sfuggire alla rilevazione e all’analisi. Questo nuovo ransomware è stato identificato dai ricercatori del team di sicurezza X-Force di IBM, che hanno recentemente pubblicato un’analisi dettagliata della variante.
Negli ultimi anni, BlackCat ha guadagnato notorietà come un gruppo di cyber criminali che prende di mira organizzazioni nei settori sanitario, governativo, dell’istruzione, manifatturiero e dell’ospitalità utilizzando il ransomware. Sphynx rappresenta un passo avanti significativo per gli aggressori di BlackCat, che continuano a migliorare i loro strumenti e le operazioni.
Secondo l’analisi condotta da IBM X-Force, Sphynx ha introdotto diverse funzionalità avanzate che aumentano gli sforzi del gruppo per evitare la rilevazione. Una delle modifiche chiave riguarda la rielaborazione degli argomenti della riga di comando utilizzati dalla famiglia di ransomware. Gli sviluppatori di Sphynx hanno creato un insieme più complesso di argomenti e hanno eliminato il parametro del token di accesso, che era utilizzato nelle versioni precedenti. Questo cambiamento rende più difficile per i difensori individuare il ransomware, poiché non esistono più comandi standard che possono essere utilizzati per identificarlo.
Inoltre, la nuova variante di BlackCat presenta dati di configurazione con strutture non elaborate, inclusi codici e stringhe crittografate anziché il formato JSON, rendendo l’analisi ancora più complessa per gli esperti di sicurezza.
Secondo quanto dichiarato dai ricercatori, il gruppo BlackCat ha annunciato che Sphynx è stato completamente riscritto da zero, con l’obiettivo principale di ottimizzare l’elusione dei sistemi di rilevamento antivirus e di endpoint (AV/EDR).
Sphynx viene fornito con un payloader offuscato che, una volta eseguito, decrittografa migliaia di stringhe e appunto il payload. La variante ransomware esegue attività di rilevamento della rete per individuare sistemi aggiuntivi, crea una lista e elimina le copie shadow utilizzando le funzioni WMI COM Object. In seguito, crittografa i file utilizzando cifrari AES o ChaCha20 e infine crea una nota di riscatto, offrendo alle vittime la possibilità di ripristinare i propri dati solo previo pagamento di un riscatto.
Gli esperti di sicurezza e le aziende devono prestare particolare attenzione alla minaccia rappresentata da Sphynx e adottare misure di sicurezza adeguate per proteggere i propri sistemi e i dati sensibili. La costante evoluzione dei ransomware come Sphynx sottolinea l’importanza di mantenere gli strumenti di difesa e le soluzioni di sicurezza aggiornate, oltre a educare gli utenti su buone pratiche di sicurezza informatica e ad implementare solide politiche di backup dei dati.
La lotta contro il ransomware richiede uno sforzo collaborativo tra le aziende, gli esperti di sicurezza e le forze dell’ordine per contrastare efficacemente questa minaccia in continua evoluzione. Solo attraverso la consapevolezza, la preparazione e la cooperazione possiamo mitigare gli effetti devastanti dei ransomware come Sphynx e proteggere le nostre infrastrutture digitali.
