CISO Advisor: 242.318 page views/mês - 93.273 usuários/mês - 5.338 assinantes

Ransomware BlackCat atualiza tradecraft e fica mais perigoso

Da Redação
05/06/2023

O grupo de ransomware BlackCat — também conhecido como ALPHV — ganhou destaque nos últimos 18 meses e uma reformulação de seu tradecraft (técnicas, métodos e tecnologias usadas em ataques) no início deste ano o tornou uma ameaça ainda mais poderosa. “O BlackCat se tornou conhecido como uma operação de ransomware altamente inovadora desde sua estreia em novembro de 2021”, disseram pesquisadores da IBM Security X-Force em uma análise sobre o grupo e de seu malware, publicada na semana passada.

O BlackCat tem sido consistentemente listado entre os dez grupos de ransomware mais ativos por várias entidades de pesquisa e foi vinculado em um comunicado do FBI de abril de 2022 ao agora extinto ransomware BlackMatter/DarkSide.

O grupo com sede na Rússia e seus afiliados tentaram extorsões em todo o mundo e em vários setores, às vezes pressionando as vítimas ao publicar dados confidenciais roubados, incluindo informações financeiras e médicas. Em março deste ano, divulgou fotos de mulheres com câncer de mama em topless na Lehigh Valley Health Network, de assistência médica nos EUA, depois que a instituição se recusou a pagar um resgate de US$ 1,5 milhão após um ataque em fevereiro.

Desde então, as vítimas do BlackCat incluem a Western Digital, a Sun Pharmaceuticals e a Constellation Software. “Grupos de ransomware como o BlackCat, que são capazes de mudar suas ferramentas e técnicas para tornar suas operações mais rápidas e furtivas, têm uma chance melhor de prolongar sua vida útil”, disse a IBM Security X-Force em seu post.

Em maio, a Trend Micro relatou que o BlackCat estava implantando um novo driver de kernel que aproveitava um executável de software cliente separado para controlar, pausar e eliminar vários processos em terminais de agentes de segurança implantados em computadores protegidos.

Segundo os pesquisadores da IBM Security X-Force, esse parece ser um dos atributos de uma nova versão de seu ransomware, que chama de Sphynx, que o grupo promoveu para seus afiliados em fevereiro. Posts de capturas de tela de um anúncio no Twitter em que o BlackCat diz que seu ransomware “foi completamente reescrito do zero” corroboram a reformulação de seu tradecraft. No anúncio, o grupo dizia ainda que a principal prioridade da atualização era otimizar a detecção por AV/EDR (antivírus/detecção de endpoint e resposta ).

“O BlackCat mudou para a linguagem de programação Rust no ano passado, provavelmente porque forneceu mais oportunidades para personalizar malware e dificultar os esforços para detectá-lo e analisá-lo, e as afiliadas do grupo continuaram a  explorar a funcionalidade dos Objetos de Política de Grupo (GPO), tanto para implantar ferramentas quanto para interferir nas medidas de segurança”, disseram os pesquisadores da IBM Security X-Force.

Veja isso
Plataforma da NCR fica fora do ar após ataque do BlackCat
Ransomware BlackCat anuncia ataque a gasoduto europeu40

De acordo com os pesquisadores, os invasores exibem uma compreensão diferenciada do Active Directory e podem  explorar os GPOs com grande efeito para implantação rápida de malware em massa. “Por exemplo, os operadores de ameaças podem tentar aumentar a velocidade de suas operações alterando os tempos de atualização padrão da política de grupo, o que provavelmente reduzirá a janela de tempo entre a entrada em vigor das alterações e a capacidade de resposta dos defensores.”

Os ataques do BlackCat geralmente envolviam a implantação de ferramentas para criptografia e roubo de dados, porque o grupo geralmente executava um esquema de dupla extorsão. “O X-Force observou invasores aproveitando o ExMatter, uma ferramenta de exfiltração de dados .NET que foi introduzida em 2021 e recebeu uma atualização substancial em agosto de 2022. O ExMatter é usado exclusivamente por um cluster afiliado de ransomware BlackCat, rastreado pela Microsoft como DEV-0504,” o disseram os pesquisadores.

A IBM X-Force observou evidências de que vários terabytes de dados foram exfiltrados de um ambiente para ameaçar a infraestrutura controlada por invasores. Os dados roubados são frequentemente publicados no site oficial de vazamento do grupo em uma tentativa de aplicar pressão sobre as vítimas de extorsão.

“Avanços contínuos no tradecraft associado ao ransomware BlackCat, bem como o design do malware BlackCat e ExMatter, destacam a compreensão do grupo em relação aos sistemas e processos de defesa dos alvos de ataques — bem como pontos potenciais onde eles podem ser aproveitados para vantagem do invasor”, escreveram os pesquisadores.

Compartilhar: