BlackByte 2.0 Ransomware: Infiltrar, Criptografar e Extorquir em Apenas 5 Dias
7 de Julho de 2023

Ataques de ransomware são um grande problema para organizações em todo lugar, e a gravidade desse problema continua intensificando.

Recentemente, a equipe de Resposta a Incidentes da Microsoft investigou os ataques de ransomware BlackByte 2.0 e expôs a velocidade aterrorizante e a natureza danosa desses ataques cibernéticos.

As descobertas indicam que os hackers podem completar todo o processo de ataque, desde obter acesso inicial até causar danos significativos, em apenas cinco dias.

Eles não perdem tempo em infiltrar sistemas, criptografar dados importantes e exigir um resgate para liberá-los.

Esse cronograma reduzido representa um desafio significativo para organizações que tentam se proteger contra essas operações prejudiciais.

O ransomware BlackByte é usado na fase final do ataque, usando uma chave de número de oito dígitos para criptografar os dados.

Para realizar esses ataques, os hackers usam uma poderosa combinação de ferramentas e técnicas.

A investigação revelou que eles aproveitam as vulnerabilidades nos Servidores de Troca da Microsoft, uma abordagem que se mostrou altamente bem-sucedida.

Ao explorar essa vulnerabilidade, eles obtêm acesso inicial às redes-alvo e preparam o terreno para suas atividades maliciosas.

O ransomware também utiliza a técnica de "process hollowing" e estratégias de evasão de antivírus para garantir a criptografia bem-sucedida e contornar a detecção.

Além disso, os web shells os equipam com acesso remoto e controle, permitindo que mantenham presença nos sistemas comprometidos.

O relatório também destacou o uso de beacons do Cobalt Strike, que facilitam operações de comando e controle.

Essas ferramentas sofisticadas dão aos atacantes uma ampla gama de habilidades, tornando mais difícil para as organizações se defenderem contra eles.

Ao lado dessas táticas, a investigação descobriu várias outras práticas perturbadoras que os cibercriminosos usam.

Eles utilizam ferramentas de "living-off-the-land" para se misturar com processos legítimos e escapar da detecção.

O ransomware modifica cópias de sombra de volume nas máquinas infectadas para evitar a recuperação de dados por meio de pontos de restauração do sistema.

Os atacantes também implantam backdoors especialmente criados, garantindo acesso contínuo para os atacantes mesmo após a comprometimento inicial.

O aumento perturbador nos ataques de ransomware exige ação imediata das organizações em todo o mundo.

Em resposta a essas descobertas, a Microsoft forneceu algumas recomendações práticas.

As organizações são incentivadas a implementar procedimentos robustos de gerenciamento de patches, garantindo que apliquem atualizações de segurança críticas em tempo hábil.

A ativação da proteção contra adulteração é outro passo essencial, pois fortalece as soluções de segurança contra tentativas maliciosas de desabilitá-las ou contorná-las.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...