O ALPHV, também conhecido como BlackCat, foi a segunda cepa de ransomware mais alavancada na América do Norte e na Europa entre janeiro de 2022 e outubro deste ano, pouco antes da derrubada do site do grupo, de acordo com a pesquisa da ZeroFox. A análise descobriu que o ALPHV foi responsável por cerca de 11% de todos os ataques de ransomware e extorsão digital na América do Norte no período de 21 meses. Ele só perde para a gangue do ransomware LockBit.
O ALPHV também foi a segunda cepa de ransomware mais alavancada na Europa, respondendo por 6% de todas as ameaças. Além disso, o relatório descobriu que as atividades globais do ransomware aumentaram significativamente neste ano na comparação com 2022, embora tenha havido uma queda no terceiro trimestre. O foco maior do grupo no período foi em organizações na América do Norte, representando 56% de seus ataques, seguidos da Europa, com 20%.
No início deste mês, foi relatado que a gangue de ransomware como serviço (RaaS) sofreu interrupções online que especialistas em inteligência de ameaças atribuíram à ação policial. Embora a interrupção seja bem-vinda, Daniel Curtis, analista sênior de inteligência da ZeroFox, enfatizou que as interrupções de sites são uma ocorrência bastante regular para grupos de crimes cibernéticos e provavelmente resultarão apenas em uma supressão temporária da ameaça de seus operadores.
Curtis acrescentou que, no caso improvável de os afiliados do ALPHV não serem mais capazes de implantar a cepa, eles rapidamente migrarão para outras ofertas de extorsão digital para continuar visando as vítimas.
Veja isso
BlackCat invade armazenamento do Azure com criptografador
Gangue BlackCat assume autoria de hack à rede da japonesa Seiko
As pesquisas da ZeroFox identificaram uma série de técnicas usadas para implantar a cepa ALPHV ao longo do período:
- Explorar aplicativos voltados para a Internet. Eles englobavam uma série de vulnerabilidades, incluindo execuções remotas de código, escalonamentos de privilégios e controles de acesso.
- Engenharia social. Várias técnicas de engenharia social, como spear phishing, vishing comunicações maliciosas em massa foram usadas para permitir que os agentes de ameaças entregassem e executassem o malware remotamente.
- Malware como serviço (MaaS). As afiliadas do ALPHV foram observadas aproveitando o Emotet MaaS para iniciar violações do sistema de primeiro estágio.
- Serviços remotos externos. Os invasores exploraram o protocolo RDP (Remote Desktop Protocol) para acessar as redes das vítimas, aproveitando credenciais legítimas do usuário.
- Compromisso Drive-by. Alguns afiliados obtiveram acesso a um sistema através de um usuário visitando um site durante o curso normal de navegação, com o navegador do usuário normalmente explorado para exploração.
- Contas válidas. Os invasores usaram credenciais comprometidas para ignorar controles de acesso, estabelecer persistência, escalar privilégios e evitar a detecção.
Para ter acesso ao relatório completo da ZeroFox, em inglês, clique aqui.