O ransomware BlackCat está aterrorizando organizações ao redor do mundo e pelo menos 60 ataques já foram identificados pelo FBI somente em março deste ano. Em abril, mais nove vítimas caíram nas teias do ransomware escrito na linguagem de programação Rust. Com capacidades avançadas, ele ataca tanto o Windows quanto o Linux e também é rastreado como ALPHV e Noberus.
Organizações industriais no foco dos ataques
Os cibercriminosos que operam o BlackCat priorizam nos ataques organizações industriais e são conhecidos pelos nomes de Darkside ou Blackmatter.
Os hackers que integram esses grupos exigem pagamentos de milhões de dólares para liberarem o acesso aos dados das empresas, principalmente informações confidenciais.
Para isso, eles empregam credenciais de usuário comprometidas e implantam o ransomware, utilizando scripts do PowerShell, Cobalt Strike Beacon e ferramentas legítimas do Windows e utilitários Sysinternals.
Os invasores também desabilitam recursos de segurança para se moverem sem impedimentos dentro da rede da vítima.
Apesar de muitos empresários negociarem com os hackers, o FBI recomenda que o resgate não seja pago, pois não é uma garantia de recuperação dos dados.
A orientação das autoridades é que as empresas implantem sistemas de defesa de segurança cibernética, com foco na prevenção dos ataques de ransomware.
Gangues se espalham
Segundo o FBI, as gangues do ransomware já contam com vários grupos, apesar de terem começado esse ataque específico em novembro de 2021. Entre elas, estão também BlackByte, Ragnar Locker e Avoslocker.
No entanto, o BlackCat/ALPHV é o primeiro grupo de ransomware a obter sucesso nas invasões utilizando o RUST, considerado uma linguagem de programação mais segura e que oferece desempenho aprimorado e processamento simultâneo confiável.
O BlackCat também é altamente personalizável e vem com suporte para vários métodos e opções de criptografia que facilitam a adaptação de ataques a uma ampla variedade de ambientes corporativos.
FBI emite alerta flash
O FBI emitiu um alerta flash, na quarta-feira (20), solicitando aos gestores de TI que denunciem qualquer rastro do BlackCat, como forma de obter mais informações que possam ajudar na captura dos cibercriminosos.
Entre as informações úteis estão logs de IP mostrando retornos de chamada de endereços IP estrangeiros, endereços Bitcoin ou Monero e IDs de transação.
Entram na lista ainda comunicações com os agentes de ameaças, o arquivo descriptografador e/ou benigno e também criptografado.
Já assistiu aos nossos novos vídeos no YouTube? Inscreva-se no nosso canal!
Fonte: Olhar Digital
Comentários