BlackCat 勒索软件使用Sphynx加密器攻击 Azure 存储

BlackCat (ALPHV) 勒索软件团伙现在使用被盗的 Microsoft 账户和最近发现的 Sphynx 加密器来攻击目标的 Azure 云存储。

在调查最近的安全侵害时，Sophos X-Ops 事件响应团队发现攻击者使用了一个带有自定义凭据支持的新的 Sphynx 变种。
利用被盗的一次性密码 (OTP) 获得 Sophos Central 账户访问权限后，他们禁用了篡改保护并修改了安全策略。这些行为是在通过 LastPass Chrome 扩展从受害者的 LastPass 密码库中窃取 OTP 之后实现的。
之后，他们对 Sophos 客户的系统和远程 Azure 云存储进行了加密，并在所有被锁定的文件后附加了 .zk09cvt 扩展名。总计，勒索软件操作者成功加密了39个 Azure Storage 账户。
他们使用被盗的 Azure 密钥进入受害者的 Azure 门户，该密钥允许他们访问目标存储账户。在攻击中使用的密钥在使用 Base64 编码后被注入到勒索软件的二进制文件中。

在入侵过程中，攻击者还使用了多种远程监控和管理 (RMM) 工具，例如 AnyDesk、Splashtop 和 Atera。

在 2023 年 3 月对数据泄露事件进行的调查中，Sophos 发现了这种 Sphynx 变种，这次事件与 IBM-Xforce 在5月发布的报告中描述的另一次攻击有相似之处（两次事件中都使用了 ExMatter 工具来提取被盗数据）。
上个月，Microsoft 也发现新的 Sphynx 加密器嵌入了 Remcom 黑客工具和 Impacket 网络框架，以在受损网络中实现横向移动。


起初于 2021 年 11 月浮现的 BlackCat/ALPHV 勒索操作被认为是 DarkSide/BlackMatter 的重新命名。

这个团伙最初名为 DarkSide，因攻击 Colonial Pipeline 而引起全球关注，并迅速受到国际执法机构的密切关注。
尽管他们在 2021 年 7 月更名为 BlackMatter，但当官方在 11 月查封了他们的服务器，并且安全公司 Emsisoft 发布了一款可以利用勒索软件漏洞的解密工具后，他们突然中止了操作。

这个团队一直被视为全球范围内最先进和最高调的勒索软件组织之一，持续地调整和完善其策略。
例如，去年夏天，这个勒索软件团伙采用了一种新的策略，他们使用了一个专门的公开网络站点来泄露特定受害者的被盗数据，这样受害者的客户和员工就可以查看他们的数据是否已被泄露。
更近期，BlackCat 在7月推出了一个数据泄露 API，专为传播被盗数据而设计。

本周，该团伙的一个附属团体（被标记为 Scattered Spider）声称对 MGM Resorts 发起了攻击，他们称在该公司关闭其内部基础设施并拒绝进行勒索谈判后，他们加密了超过 100 台 ESXi hypervisors。
去年4月，FBI 发出了警告，指出该团队在 2021 年 11 月至 2022 年 3 月期间成功入侵了全球60多个实体。