São Paulo/SP – 21 de setembro de 2023 – Evolução contínua das ameaças cibernéticas: A nova variante de ransomware BlackCat contém movimento lateral avançado e ferramentas de execução remota de código
*Gabriel Martorelli
Em um ambiente digital em constante evolução, as ameaças cibernéticas estão se tornando mais sofisticadas e latentes. Recentemente, a Microsoft anunciou que descobriu uma nova versão do ransomware BlackCat, também conhecido como ALPHV e Noberus. Isso demonstra a crescente sofisticação das táticas e ferramentas usadas por agentes mal-intencionados. Este novo sabor inclui ferramentas como Impacket e RemCom que facilitam o movimento lateral e a execução remota de código.
Esse resultado é um lembrete claro de que os cibercriminosos estão constantemente refinando suas abordagens para atingir seus objetivos nefastos.
Desenvolvimento
A equipe de inteligência de ameaças da Microsoft descobriu que uma nova variante do ransomware BlackCat usa a ferramenta Impacket, conhecida por sua capacidade de descarregar credenciais e executar serviços remotos. Esses recursos permitem uma distribuição mais eficaz de ransomware para ambientes de destino.
Além disso, o ransomware também utilizou a ferramenta RemCom, que fornece recursos de execução remota de código. A combinação de Impacket e RemCom torna a nova variante BlackCat uma ameaça altamente adaptável e mortal. Um olhar mais atento revela que a nova variante do BlackCat não é apenas ransomware, é um “kit de ferramentas” completo. Essa funcionalidade é semelhante à abordagem in-packet na qual a nova variante parece se basear. A capacidade de se mover lateralmente, executar serviços remotos e executar ataques de ransomware torna essa variante uma ameaça multifacetada que pode ser adaptada para alvos de criminosos cibernéticos.
A descoberta desta nova variante do BlackCat não é uma descoberta isolada. O IBM Security X-Force havia lançado anteriormente uma versão atualizada do BlackCat chamada Sphynx, que apresentava velocidade de criptografia e furtividade aprimoradas. Isso indica que os agentes de ameaças estão procurando refinar e modificar suas abordagens para aumentar sua eficácia.
O grupo por trás do BlackCat demonstrou notável adaptabilidade, enfatizando a importância de se manter atualizado com as medidas de vigilância e segurança cibernética.
Diante da constante evolução das ameaças cibernéticas, é crucial adotar medidas robustas para mitigar os riscos. Aqui estão cinco boas práticas a serem consideradas:
- Atualização Regular e Patches: Mantenha sistemas operacionais, software e aplicativos atualizados com os patches de segurança mais recentes para evitar vulnerabilidades conhecidas exploradas por ameaças como o BlackCat.
- Segregação de Rede: Implemente uma arquitetura de rede segmentada para reduzir o movimento lateral de ameaças. Isso dificultará que malware se espalhe rapidamente por toda a rede.
- Conscientização e Treinamento: Eduque os funcionários sobre as práticas seguras de navegação na internet, identificação de phishing e outras ameaças. A conscientização é uma defesa eficaz contra-ataques direcionados.
- Monitoramento Avançado: Utilize ferramentas de detecção de ameaças avançadas para identificar comportamentos anômalos ou atividades suspeitas em tempo real. Isso permite uma resposta mais rápida a incidentes.
- Backup e Recuperação: Mantenha cópias de backup de dados críticos em locais isolados da rede. Isso ajuda a restaurar os sistemas em caso de ataque de ransomware, minimizando o impacto.
BlackCat não está sozinho em suas atividades nefastas. A BlackCat foi responsável por 212 dos 1.500 ataques de ransomware relatados, segundo a Revisão de Ameaças Intermediárias de 2023 da Rapid7. Isso destaca a importante presença desse grupo no cenário de ameaças cibernéticas e a necessidade de medidas preventivas. A prevalência e a sofisticação das ameaças de ransomware são uma preocupação constante para empresas e governos em todo o mundo. Além da criptografia de dados, os cibercriminosos estão explorando novas táticas, como roubo de dados e extorsão tripla, para aumentar a pressão sobre as vítimas. Além disso, a estratégia de direcionar os provedores de serviços gerenciados (MSPs) como pontos de entrada para penetrar nas redes corporativas downstream mostra a audácia e a criatividade dos agentes mal-intencionados.
Conclusion
A descoberta de uma nova variante do ransomware BlackCat com movimento lateral avançado e táticas de execução remota de código é um lembrete claro de que as ameaças cibernéticas estão em constante evolução. Esses ataques destacam a importância de medidas de segurança robustas e atualizadas e a necessidade contínua de educação e conscientização sobre ameaças cibernéticas. Em nosso mundo digital interconectado, a colaboração entre empresas, governos e especialistas em segurança cibernética é essencial para combater com eficácia as ameaças em evolução. Adotar boas práticas como atualizações regulares, conscientização, monitoramento avançado, segurança de rede e backup adequado é fundamental para minimizar os riscos e proteger os ativos digitais.
*Gabriel Martorelli é Analista de SOC da Safeway
How can we help?
SAFEWAY is a consulting firm in Information security recognized by its customers for offering high value-added solutions through projects that fully meet the needs of the business. In 14 years of experience, we have accumulated several successful projects that have earned us credibility and prominence with our clients, who largely make up the 100 largest companies in Brazil.
today through 25 strategic partnerships with global manufacturers and our SOC, SAFEWAY is considered a one stop shopping with the best solutions in technology, processes and people. We have both the technical skills and the experience necessary to assist your company in the process of structuring controls and preparing the environment for the implementation of an ISMS, SGS or SGCN and, consequently, certification of operations, services or companies to the ISO27001, ISO20000 or ISO22301 standards.
