This post is also available in: Português Español
Em um relatório intitulado “A bad luck BlackCat”, os pesquisadores da Kaspersky revelaram os detalhes de dois incidentes cibernéticos realizados pelo grupo de ransomware BlackCat.
A complexidade do malware usado, associado à vasta experiência dos agentes que estão por trás dele, fazem desse grupo um dos principais grupos de cibercriminosos que atacam com ransomware presentes na América Latina, com o Brasil entre os cinco principais países do mundo.
O BlackCat
No início de dezembro de 2021, um novo grupo de ransomware começou a anunciar seus serviços em um fórum underground russo. Eles se apresentaram como ALPHV, um grupo de Ransomware-as-a-Service (RaaS) de nova geração. Pouco depois, eles mostraram suas atividades, infectando inúmeras vítimas corporativas em todo o mundo. O grupo também é conhecido como BlackCat.
Diferentemente de muitos agentes de ransomware, o malware do BlackCat é escrito na linguagem de programação Rust.
Rust se trata de uma linguagem de programação multiparadigma compilada, desenvolvida pela Mozilla Research. É projetada para ser “confiável, performática e produtiva”.
Graças às avançadas funcionalidades de compilação cruzada do Rust, o BlackCat consegue atingir sistemas Windows e Linux. Em outras palavras, o BlackCat introduziu avanços progressivos e uma mudança nas tecnologias usadas para vencer os desafios do desenvolvimento de ransomware.
Sucessor do REvil e BlackMatter?
O BlackCat se apresenta como um sucessor de notórios grupos de ransomware, como BlackMatter e REvil. Os cibercriminosos afirmaram que resolveram todos os erros e problemas no desenvolvimento de ransomware e criaram o produto perfeito em termos de codificação e infraestrutura.
Porém, alguns pesquisadores veem o grupo não apenas como os sucessores dos grupos BlackMatter e REvil, mas como um rebranding completo. Segundo a Kaspersky, a telemetria sugere que pelo menos alguns membros do novo grupo BlackCat têm links para o grupo BlackMatter, porque modificaram e reutilizaram uma ferramenta de exfiltração personalizada, chamada de Fendr, e que só foi observada na atividade BlackMatter.
Incidentes de interesse especial
Dois incidentes recentes envolvendo o BlackCat se destacam como particularmente interessantes.
Um demonstra o risco apresentado pelos recursos compartilhados de hospedagem em nuvem e o outro demonstra uma abordagem ágil para reutilização de malware personalizado nas atividades do BlackMatter e do BlackCat.
- Primeiro caso:
Aparentemente, o grupo de ransomware infectou um provedor de ERP vulnerável, no Oriente Médio, que hospeda vários sites.
Os invasores entregaram dois executáveis diferentes simultaneamente ao mesmo servidor físico, visando duas organizações diferentes virtualmente hospedadas lá.
O acesso inicial foi confundido pelos invasores com dois sistemas físicos e unidades diferentes para infectar e criptografar. A kill chain foi acionada antes da atividade de “pré criptografia”, mas o verdadeiro ponto de interesse aqui reside nas vulnerabilidades compartilhadas e no risco demonstrável de ativos compartilhados nos recursos da nuvem.
Ao mesmo tempo, o grupo também entregou um arquivo em lote Mimikats (Um aplicativo de código aberto que permite aos usuários visualizar e salvar suas credenciais de autenticação, como tíquetes Kerberos. O kit de ferramentas funciona com a versão atual do Windows e inclui os ataques mais avançados) junto com executáveis e utilitários de recuperação de senha de rede da Nirsoft.
- Segundo caso:
Este envolve uma empresa de petróleo, gás, mineração e construção na América do Sul. Este incidente relacionado conecta ainda mais a atividade do ransomware BlackMatter com o BlackCat.
O afiliado por trás desse incidente tentou entregar o ransomware BlackCat dentro da rede de destino, mas aproximadamente 1 hora e 40 minutos antes de sua entrega, eles instalaram um utilitário de exfiltração personalizado modificado, chamado de Fendr. Esse utilitário já havia sido usado exclusivamente na atividade de ransomware BlackMatter.
Vítimas em potencial do BlackCat
Entre os incidentes de ransomware BlackCat, os especialistas da Kaspersky viram pelo menos um ataque a uma empresa industrial sul-americana envolvida em petróleo, gás, mineração e construção, bem como a infecção de vários clientes de um provedor de planejamento de recursos empresariais do Oriente Médio. Os dois exemplos citados acima.
Um dos fatos mais preocupantes é a evolução do Fendr. No momento, a ferramenta pode baixar automaticamente uma gama muito maior de arquivos, em comparação com casos anteriores de ataques do grupo BlackMatter. Os cibercriminosos adicionaram recentemente a capacidade de localizar arquivos com a seguinte lista de extensões: .sqlite, .catproduct, .rdp, .accdb, .catpart, .catdrawing, .3ds, .dwt e .dxf. Esses tipos de arquivos estão relacionados a aplicativos de design industrial e ferramentas de acesso remoto, e isso pode ser o sinal de que os criadores de malware estão visando ambientes industriais.
Como se proteger dessa ameaça?
Para evitar que sua empresa perca informações importantes, é altamente recomendado primeiro proteger todos os dispositivos corporativos usando soluções de segurança confiáveis e, em segundo lugar, treinar funcionários nos conceitos básicos de segurança da informação regularmente.
Com o aumento contínuo do ransomware como serviço, é mais importante do que nunca que qualquer empresa esteja preparada para um incidente e tenha uma estratégia anti-ransomware em vários níveis, para minimizar as chances e impacto de ataques.
Fonte: Kaspersky.
This post is also available in: Português Español
