São Paulo/SP – 21 de setembro de 2023 – Evolução contínua das ameaças cibernéticas: A nova variante de ransomware BlackCat contém movimento lateral avançado e ferramentas de execução remota de código
*Gabriel Martorelli
Em um ambiente digital em constante evolução, as ameaças cibernéticas estão se tornando mais sofisticadas e latentes. Recentemente, a Microsoft anunciou que descobriu uma nova versão do ransomware BlackCat, também conhecido como ALPHV e Noberus. Isso demonstra a crescente sofisticação das táticas e ferramentas usadas por agentes mal-intencionados. Este novo sabor inclui ferramentas como Impacket e RemCom que facilitam o movimento lateral e a execução remota de código.
Esse resultado é um lembrete claro de que os cibercriminosos estão constantemente refinando suas abordagens para atingir seus objetivos nefastos.
Desenvolvimento
A equipe de inteligência de ameaças da Microsoft descobriu que uma nova variante do ransomware BlackCat usa a ferramenta Impacket, conhecida por sua capacidade de descarregar credenciais e executar serviços remotos. Esses recursos permitem uma distribuição mais eficaz de ransomware para ambientes de destino.
Além disso, o ransomware também utilizou a ferramenta RemCom, que fornece recursos de execução remota de código. A combinação de Impacket e RemCom torna a nova variante BlackCat uma ameaça altamente adaptável e mortal. Um olhar mais atento revela que a nova variante do BlackCat não é apenas ransomware, é um “kit de ferramentas” completo. Essa funcionalidade é semelhante à abordagem in-packet na qual a nova variante parece se basear. A capacidade de se mover lateralmente, executar serviços remotos e executar ataques de ransomware torna essa variante uma ameaça multifacetada que pode ser adaptada para alvos de criminosos cibernéticos.
A descoberta desta nova variante do BlackCat não é uma descoberta isolada. O IBM Security X-Force havia lançado anteriormente uma versão atualizada do BlackCat chamada Sphynx, que apresentava velocidade de criptografia e furtividade aprimoradas. Isso indica que os agentes de ameaças estão procurando refinar e modificar suas abordagens para aumentar sua eficácia.
O grupo por trás do BlackCat demonstrou notável adaptabilidade, enfatizando a importância de se manter atualizado com as medidas de vigilância e segurança cibernética.
Diante da constante evolução das ameaças cibernéticas, é crucial adotar medidas robustas para mitigar os riscos. Aqui estão cinco boas práticas a serem consideradas:
- Atualização Regular e Patches: Mantenha sistemas operacionais, software e aplicativos atualizados com os patches de segurança mais recentes para evitar vulnerabilidades conhecidas exploradas por ameaças como o BlackCat.
- Segregação de Rede: Implemente uma arquitetura de rede segmentada para reduzir o movimento lateral de ameaças. Isso dificultará que malware se espalhe rapidamente por toda a rede.
- Conscientização e Treinamento: Eduque os funcionários sobre as práticas seguras de navegação na internet, identificação de phishing e outras ameaças. A conscientização é uma defesa eficaz contra-ataques direcionados.
- Monitoramento Avançado: Utilize ferramentas de detecção de ameaças avançadas para identificar comportamentos anômalos ou atividades suspeitas em tempo real. Isso permite uma resposta mais rápida a incidentes.
- Backup e Recuperação: Mantenha cópias de backup de dados críticos em locais isolados da rede. Isso ajuda a restaurar os sistemas em caso de ataque de ransomware, minimizando o impacto.
BlackCat não está sozinho em suas atividades nefastas. A BlackCat foi responsável por 212 dos 1.500 ataques de ransomware relatados, segundo a Revisão de Ameaças Intermediárias de 2023 da Rapid7. Isso destaca a importante presença desse grupo no cenário de ameaças cibernéticas e a necessidade de medidas preventivas. A prevalência e a sofisticação das ameaças de ransomware são uma preocupação constante para empresas e governos em todo o mundo. Além da criptografia de dados, os cibercriminosos estão explorando novas táticas, como roubo de dados e extorsão tripla, para aumentar a pressão sobre as vítimas. Além disso, a estratégia de direcionar os provedores de serviços gerenciados (MSPs) como pontos de entrada para penetrar nas redes corporativas downstream mostra a audácia e a criatividade dos agentes mal-intencionados.
Conclusão
A descoberta de uma nova variante do ransomware BlackCat com movimento lateral avançado e táticas de execução remota de código é um lembrete claro de que as ameaças cibernéticas estão em constante evolução. Esses ataques destacam a importância de medidas de segurança robustas e atualizadas e a necessidade contínua de educação e conscientização sobre ameaças cibernéticas. Em nosso mundo digital interconectado, a colaboração entre empresas, governos e especialistas em segurança cibernética é essencial para combater com eficácia as ameaças em evolução. Adotar boas práticas como atualizações regulares, conscientização, monitoramento avançado, segurança de rede e backup adequado é fundamental para minimizar os riscos e proteger os ativos digitais.
*Gabriel Martorelli é Analista de SOC da Safeway
Como podemos ajudar?
A SAFEWAY é uma empresa de consultoria em Segurança da Informação reconhecida pelos seus clientes por oferecer soluções de alto valor agregado por meio de projetos que atendam integralmente às necessidades do negócio. Em 14 anos de experiência, acumulamos diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte as 100 maiores empresas do Brasil.
Hoje por meio de 25 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas. Possuímos tanto a habilidade técnica quanto a experiência necessária para auxiliar sua empresa no processo de estruturação de controles e preparação do ambiente para implantação de SGSI, SGS ou SGCN e, consequentemente, certificação de operações, serviços ou empresas as normas ISO27001, ISO20000 ou ISO22301.
