Linux: BlackCat usa l'utility “Munchkin” per attacchi ransomware

Il gruppo di criminali informatici conosciuto come BlackCat/ALPHV ha iniziato a sfruttare un nuovo strumento chiamato “Munchkin” che consente di diffondere il payload di BlackCat su remote machine e condividerlo sulla rete dell’organizzazione della vittima. Per fare ciò vengono utilizzate le VM Linux (virtual Machine). In particolare, questo strumento permette al ransomware BlackCat di essere eseguito su sistemi remoti o di cifrare condivisioni di rete remote Server Message Block (SMB) o Common Internet File (CIFS). L’introduzione di Munchink tra gli strumenti di BlackCat rende inoltre il RaaS (Ransomware as a Service) più attraente per i cybercriminali che cercano di diventare affiliati di Ransomware.

Come funziona il ransomware BlackCat

Come riportato dell’Unità 42 di Palo Alto Networks nel VM Linux, Munchkin di BlackCat è una distribuzione Linux personalizzata del sistema operativo Apline OS, fornita come ISO. Dopo aver compromesso un dispositivo, gli autori delle minacce installano VirtualBox e creano una nuova Virtual Machine utilizzando l’ISO di Munchkin. Questa VM include una suite di script e utility che consentono ai cybercriminali di scaricare password, diffondersi sulla rete, creare un payload di crittografia BlackCat “Sphynx” ed eseguire programmi sui computer di rete. Il malware cambia inizialmente la password di root della VM con quella scelta dai cybercriminali. In seguito, genera una nuova sessione terminale tramite l'utility “tmux” integrata, che viene utilizzata per eseguire il file binario del malware denominato “controller”. Una volta completata l'esecuzione, il malware spegne la VM.

Il malware è scritto nel linguaggio di programmazione Rust e, al momento dell’esecuzione, il controller carica gli script utilizzati nell’attacco. Questo utilizza il file di configurazione in bundle, che fornisce token di accesso, credenziali della vittima e segreti di autenticazione. Inoltre fornisce direttive di configurazione, blocklist di cartelle e file, attività da eseguire e host da destinare alla cifratura. Munchkin rende più semplice per gli affiliati del ransomware BlackCat eseguire varie attività, incluso aggirare le soluzioni di sicurezza che proteggono il dispositivo della vittima. Questo perché le macchine virtuali forniscono un livello di isolamento dal sistema operativo, rendendo il rilevamento e l'analisi più impegnativi per il software di sicurezza. Questa nuova versione (più sofisticata) di Munchkin mostra come gli autori di malware continuano a migliorare sempre più i propri attacchi. Tra le vittime più note di BlackCat nel 2023 figurano Florida Circuit Court, MGM Resorts, Motel One e Seiko.