A gangue do ransomware ALPHV/BlackCat foi rastreada usando o Google Ads, principal serviço de publicidade online do gigante da tecnologia, para distribuir malware. Responsável pela violação de US$ 100 milhões da MGM Resorts e pelo vazamento de imagens sensíveis de pacientes com câncer de mama, o grupo expandiu recentemente seus métodos de ataque para incluir malvertising, de acordo com a unidade de resposta a ameaças da eSentire.
Em um novo comunicado publicado na quarta-feira, 15, a empresa de segurança cibernética disse que interceptou e frustrou tentativas de afiliados do ALPHV/BlackCat de violar um escritório de advocacia, um fabricante e um provedor de armazém nas últimas três semanas.
O ALPHV/BlackCat faz parte de um ecossistema de crimes cibernéticos com funções especializadas, resultado da evolução de operadores de ransomware experientes como REvil, DarkSide e BlackMatter. Os afiliados que suportam ALPHV/BlackCat incluem os grupos FIN7, UNC2565 e Scattered Spider.
A nova tática observada pela eSentire envolve o uso do Google Ads promovendo softwares populares como o Advanced IP Scanner e o Slack, levando profissionais de negócios a sites controlados por invasores. Esses profissionais, muitas vezes pensando que estão baixando software legítimo, involuntariamente instalam o malware Nitrogen, que serve como malware de acesso inicial, fornecendo aos intrusos um ponto de apoio no ambiente de TI da organização alvo.
Uma vez estabelecidos, os hackers infectam a vítima com o ransomware ALPHV/BlackCat.
“O malware Nitrogen aproveita bibliotecas Python ofuscadas que compilam para executáveis do Windows”, explicou Keegan Keplinger, pesquisador sênior de inteligência de ameaças da unidade de resposta a ameaças da eSentire. “Essas bibliotecas são úteis para casos de uso legítimos – como otimizar o código Python, mas também estão sendo usadas para desenvolver carregadores de malware maliciosos que podem carregar ferramentas de intrusão diretamente na memória.”
Veja isso
BlackCat invade armazenamento do Azure com criptografador
Gangue BlackCat assume autoria de hack à rede da japonesa Seiko
De forma mais geral, o especialista em segurança acrescentou que o aumento das ameaças cibernéticas baseadas em navegadores, em que os usuários baixam malware sem saber enquanto navegam, se tornou uma tendência preocupante. Keplinger enfatizou a necessidade de o treinamento de conscientização do usuário para ir além dos anexos de e-mail, abordando a crescente ameaça de downloads baseados em navegador.
O comunicado da eSentire recomendou que as organizações se concentrem no monitoramento de endpoint, capturem e monitorem logs para sistemas que não oferecem suporte ao monitoramento de endpoint e implementem regras de redução de superfície de ataque para mitigar ataques baseados em navegador.
As origens criminosas do grupo ALPHV/BlackCat, as conexões com antigos grupos de ransomware e seus recentes ataques de alto perfil a MGM Resorts, McClaren Health Care, Clarion e Motel One enfatizam ainda mais a urgência de medidas aprimoradas de segurança cibernética.
Para ter acesso ao relatório da eSentire, em inglês, clique aqui.
