Nenhum mercado tolera o vazio e isso também se aplica ao ransomware. Depois que os grupos BlackMatter e REvil cessaram suas operações, o surgimento de novos jogadores era apenas uma questão de tempo. E aqui está um deles — em dezembro passado, anúncios para os serviços do grupo ALPHV, também conhecido como BlackCat, apareceram em fóruns de hackers. Após vários incidentes, nossos especialistas da Equipe Global de Pesquisa e Análise (GReAT) decidiram estudar cuidadosamente a atividade desse grupo e publicar um relatório abrangente no site da Securelist.
Nos anúncios, os invasores mencionaram que estudaram os erros e problemas de seus antecessores e criaram uma versão aprimorada do malware. No entanto, há sinais de que sua conexão com os grupos BlackMatter e REvil pode ser muito mais íntima do que eles estão querendo mostrar.
Quem é o grupo BlackCat e que ferramentas eles usam?
Os criadores do ransomware BlackCat oferecem seus serviços sob o esquema Ransomware-as-a-Service (RaaS). Em outras palavras, eles fornecem a outros invasores acesso à sua infraestrutura e código malicioso e, em troca, recebem certa parte do resgate. Além disso, os membros da gangue BlackCat provavelmente também são responsáveis pelas negociações com as vítimas. Portanto, a única coisa que seu “franqueado” teria que fazer sozinho é ter acesso ao ambiente corporativo. Esse princípio “cuidamos de tudo” é a razão pela qual o BlackCat ganhou força tão rapidamente: seu malware já é usado para atacar empresas em todo o mundo.
O arsenal do BlackCat consiste em vários itens. O primeiro é o criptografador de mesmo nome. Está escrito na linguagem Rust, graças à qual os invasores conseguiram criar uma ferramenta multiplataforma com versões do malware que funcionam tanto em ambientes Windows quanto Linux.
O segundo é o utilitário Fendr, que é usado para exfiltrar dados da infraestrutura infectada. O uso dessa ferramenta sugere que o BlackCat pode ser simplesmente um rebranding da facção BlackMatter – eles eram a única gangue conhecida a usar essa ferramenta, que também é conhecida como ExMatter.
A BlackCat também emprega a ferramenta PsExec para movimentação lateral na rede da vítima; Mimikatz, o conhecido software hacker, e o software Nirsoft para extrair senhas de rede.
Você pode encontrar mais informações técnicas sobre os métodos e ferramentas do BlackCat, bem como os indicadores de comprometimento nesta postagem do blog Securelist.
Quem são as vítimas do BlackCat?
Entre os incidentes de ransomware BlackCat, nossos especialistas viram pelo menos um ataque a uma empresa industrial sul-americana envolvida em petróleo, gás, mineração e construção, bem como a infecção de vários clientes de um provedor de planejamento de recursos empresariais do Oriente Médio.
Um dos fatos mais preocupantes é a evolução do Fendr. No momento, a ferramenta pode baixar automaticamente uma gama muito maior de arquivos, em comparação com casos anteriores de ataques do grupo BlackMatter. Os cibercriminosos adicionaram recentemente a capacidade de localizar arquivos com a seguinte lista de extensões: .sqlite, .catproduct, .rdp, .accdb, .catpart, .catdrawing, .3ds, .dwt e .dxf. Esses tipos de arquivos estão relacionados a aplicativos de design industrial e ferramentas de acesso remoto, e isso pode ser o sinal de que os criadores de malware estão visando ambientes industriais.
Como se manter seguro?
Para evitar que sua empresa perca informações importantes, recomendamos primeiro proteger todos os dispositivos corporativos usando soluções de segurança confiáveis e, em segundo lugar, treinar funcionários nos conceitos básicos de segurança da informação regularmente.
Com o aumento contínuo do ransomware como serviço, é mais importante do que nunca que qualquer empresa esteja preparada para um incidente e tenha uma estratégia anti-ransomware em vários níveis.