BlackCat, também conhecido como ALPHV ou Noberus, é uma cepa de ransomware que apareceu pela primeira vez em novembro de 2021. Ganhando popularidade como a cepa de ransomware mais sofisticada de 2021, acredita-se que o BlackCat seja perpetrado por vários grupos de ransomware e principalmente pelo BlackMatter. Após o desligamento do BlackMatter pela aplicação da lei, outros grupos adotaram o ransomware e, embora seja uma cepa relativamente nova, o BlackCat foi determinado como responsável por vários ataques de alto perfil e rapidamente emergiu como um grande ator de ameaças.

A BlackCat opera em um modelo de Ransomware como Serviço (RaaS) no qual os desenvolvedores de ransomware vendem ou alugam seu software para clientes, também conhecidos como afiliados. Esses cibercriminosos usam o ransomware pré-desenvolvido para lançar seus ataques. O RaaS diminui o fator de risco para os desenvolvedores, pois eles não precisam realizar os ataques sozinhos, e reduz o fator custo para os afiliados, pois eles não precisam investir muito na construção de seu próprio ransomware. Mesmo hackers de pequeno porte, sem muito conhecimento técnico, agora podem executar ataques cibernéticos sofisticados.

Extorsão tripla 

A maioria dos grupos de ransomware usa a técnica de dupla extorsão, ou seja, eles não apenas roubam e criptografam dados confidenciais e os mantêm como reféns, mas também ameaçam publicar os dados se o resgate não for pago. O grupo BlackCat também faz isso, mas, além disso, seus agentes de ameaças geralmente ameaçam lançar um ataque distribuído de negação de serviço (DDoS), se suas demandas não forem atendidas.Isso adiciona uma terceira camada de ameaça ao esquema de ataque e extorsão e é conhecido como extorsão tripla.

Anatomia do BlackCat e seu arsenal: como funciona? 

BlackCat é considerado um ransomware muito sofisticado. Está entre os primeiros a usar a linguagem de programação Rust, considerada altamente segura e que oferece desempenho aprimorado e processamento concorrente confiável. O uso de Rust torna o malware altamente personalizável e difícil de detectar. O BlackCat é um ransomware controlado por linha de comando e operado por humanos, capaz de usar diferentes rotinas de criptografia e autopropagação, entre outros recursos.

Outra característica notável é que o Rust é multiplataforma, ou seja, pode criar versões do malware que funcionam em diferentes ambientes de sistemas operacionais. Atualmente, o ransomware BlackCat pode direcionar e criptografar dispositivos Windows e Linux e instâncias VMWare.

A intrusão inicial na rede da vítima geralmente acontece explorando vulnerabilidades comuns em diferentes aplicativos, como gateways VPN e firewalls não corrigidos. Por exemplo, em um ataque, os invasores aproveitaram um servidor Exchange sem patches para entrar na organização de destino. Uma vez dentro da rede, os invasores se moveram lateralmente e obtiveram acesso adicional usando credenciais por meio do Remote Desktop Protocol (RDP). Em seguida, o malware foi implantado nas máquinas de destino e criptografou todos os arquivos da vítima, bloqueou seus computadores e exibiu uma mensagem de resgate.

O arsenal do BlackCat inclui várias ferramentas. Vamos discutir alguns aqui:

  • Primeiro, é o próprio malware. Escrito na linguagem de programação Rust altamente personalizável, acredita-se que foi escrito do zero, sem o uso de modelos existentes ou códigos-fonte vazados anteriormente. Cada instância deste ransomware é única e configurada especificamente para a vítima.

  • Cada executável de ransomware inclui uma estrutura de dados JSON que permite a personalização de extensões, notas de resgate, procedimento para criptografar dados, pastas, arquivos e extensões a serem excluídos e os serviços e processos a serem encerrados automaticamente. Ele é adaptado de acordo com o conhecimento do invasor sobre a rede da vítima.

  • O ransomware pode ser configurado para usar diferentes modos de criptografia, e isso determina a velocidade e a extensão da criptografia na rede da vítima.

  • Mimikatz, o conhecido software hacker, e o software Nirsoft também são usados para extrair senhas de rede. No entanto, também foi observado que alguns invasores evitam usar softwares como o Mimikatz porque podem ser detectados por software antivírus. Em vez disso, eles usaram o Taskmgr.exe e criaram um arquivo de despejo do processo LSASS.exe para roubar credenciais.

  • Após obter o acesso inicial, utiliza a ferramenta PsExec para movimentação lateral na rede da vítima. Foi observado que os invasores usam o PowerShell para modificar as configurações de segurança do Windows Defender em toda a rede da vítima e iniciar o ransomware em vários hosts usando o PsExec.

  • Ele usa o Fendr para exfiltrar dados de redes infectadas.

Enquanto a maioria dos ransomwares ameaça apagar ou publicar dados se as vítimas contratarem empresas de negociação, o grupo BlackCat conseguiu nos surpreender com mais uma modificação. Aparentemente, o grupo cria uma página de login intermediária para atender a essas empresas e realizar negociações privadas com elas.

Vítimas do BlackCat  

Embora esse grupo exista há menos de um ano, rapidamente se tornou notório por ter como alvo vítimas de alto perfil em vários países e inúmeras indústrias em todo o mundo. A maioria das vítimas são de países da UE. O FBI emitiu um alerta flash recentemente que indicava que o grupo já tinha como alvo quase 60 vítimas em março de 2022; isso é apenas quatro meses desde que o grupo começou a operar.

Algumas das vítimas de alto perfil incluem as gigantes petrolíferas alemãs OilTanking GmbH e Mabana-ft GmbH, e as organizações multinacionais Swiss-port International e a marca italiana de moda de luxo Moncler, entre outras. O grupo também assumiu a responsabilidade pelos ataques a duas universidades americanas, a Florida International University e a North Carolina A&T University.

O grupo supostamente faz exigências de resgate que variam de US$ 400.000 a US$ 3 milhões, pagáveis em criptomoeda. Relatórios recentes sugerem que a gangue por trás do BlackCat já começou a publicar os dados das vítimas na web clara, também conhecida como web de superfície, que é a parte da internet indexada pelos mecanismos de busca. Essa estratégia é projetada para exercer mais pressão e forçar as vítimas a pagar o resgate.

Como acontece com qualquer outro ataque de ransomware, pagar o resgate nunca é realmente uma solução, pois não há garantia de que a vítima recuperará todos os seus arquivos. Além disso, pagar o resgate aumenta a confiança dos invasores e os incentiva e encoraja a realizar mais ataques. Somente as organizações afetadas sabem a extensão exata da perda de dados e os danos potenciais que ela pode causar. As organizações precisam analisar a situação com cuidado, entender as ramificações do ataque à empresa, seus clientes, funcionários e outras partes interessadas e agir de acordo. De qualquer forma, é crucial que as organizações descubram o que deu errado – para descobrir por que e como o ataque aconteceu e, em seguida, corrigi-lo. Caso contrário, eles correm o risco de serem vítimas de outros ataques no futuro.

O número geral de vítimas desse ransomware permanece baixo em comparação com outros, mas como houve tantos ataques em um curto espaço de tempo, ele opera em um modelo RaaS e usa códigos e técnicas sofisticadas, o BlackCat é uma grande ameaça a ser observada por.

Uma solução de segurança eficaz é detectar rapidamente e rastrear um ataque, investigar a causa raiz e tomar medidas corretivas. Nossa solução SIEM, ManageEngine Log360, ajuda a prevenir ataques alertando se quaisquer eventos ou atividades incomuns forem detectados e iniciando processos de correção automática. Para avaliar completamente como o Log360 pode ajudar sua organização a se defender contra o BlackCat e outros ataques cibernéticos, inscreva-se para uma demonstração personalizada gratuita.

Esse post foi traduzido da nossa página em inglês SIEM Expert Talks, e sua autoria original é de Vamsi Krishna Sanapala.