O kit de ferramentas de pós-exploração Brute Ratel C4 foi roubado e agora está sendo distribuído gratuitamente em fóruns frequentados por cibercrimnosos. Essa coleção de utilidades foi criada por Chetan Nayak, ex -membro das equipes red team da Mandiant e CrowdStrike. O pesquisador de ameaças cibernéticas Will Thomas (BushidoToken) informou que uma cópia do Brute Ratel está circulando atualmente em fóruns decibercriminosos, incluindo BreachForums, CryptBB, RAMP, Exploit.in e Xss.is, além de vários grupos de Telegram e Discord.
Às 19:59:20 UTC de 13 de setembro de 2022, um arquivo chamado “bruteratel_1.2.2.Scandinavian_Defense.tar.gz” foi carregado no VirusTotal. Esse arquivo contém uma cópia válida do BRC4 versão 1.2.2/5.
Veja isso
Grupos de RaaS reveem tática devido à redução de pagamentos
Microsoft vai adquirir Mandiant, dizem rumores no mercado
Desde meados de setembro os cibercriminosos compartilham nos fóruns XSS e Breached a versão versão 1.2.2 do Brute Ratel C4 e já criaram vários tópicos para isso. Disponível desde dezembro de 2020, o Brute Ratel C4 (também conhecido como BRC4) é um dos novos frameworks Red Team mais populares a entrar em cena. É semelhante a outras estruturas, como o Cobalt Strike, mas é exclusivamente preocupante por seu foco em evitar ferramentas de detecção e resposta de endpoint (EDR) e antivírus (AV). Uma análise técnica do BRC4 já foi fornecida pela Palo Alto Networks Unit42.
Em 28 de setembro, o desenvolvedor do BRC4, Chetan Nayak, tuitou acusações de que o arquivo vazou pelo MdSec e disse que foram eles que o enviaram para o VirusTotal. Nayak também afirmou que um grupo de língua russa conhecido como Molecules foi o responsável por produzir a versão crackeada do produto. Isso significa que, com as instruções corretas, a ferramenta agora pode ser executada sem a chave de ativação necessária para iniciar o software completo e usar seus recursos.
Agora existem várias postagens sobre isso em vários dos fóruns de crimes cibernéticos mais populosos – onde se reúnem vendedores de dados, de acesso inicial, desenvolvedores de malware e afiliados de ransomware. Isso inclui BreachForums, CryptBB, RAMP, Exploit[.]in e Xss[.]is, bem como vários grupos de Telegram e Discord. Atores de ameaças ligados a vários grupos organizados de crimes cibernéticos manifestaram interesse no vazamento da nova ferramenta.