Na quinta-feira, a Microsoft divulgou que encontrou uma nova versão do ransomware BlackCat (também conhecido como ALPHV e Noberus) que incorpora ferramentas como Impacket e RemCom para facilitar o movimento lateral e a execução remota de código.
"A ferramenta Impacket possui módulos de descarregamento de credenciais e execução de serviço remoto que podem ser usados para um amplo desdobramento do ransomware BlackCat nos ambientes alvo", disse a equipe de inteligência de ameaças da empresa em uma série de posts no X (anteriormente Twitter).
"Essa versão do BlackCat também possui a ferramenta de hack RemCom embutida no executável para execução remota de código.
O arquivo também contém credenciais alvo comprometidas codificadas que os atores usam para o movimento lateral e novo desdobramento do ransomware."
RemCom, apresentado como uma alternativa de código aberto ao PsExec, tem sido usado por atores de ameaças de nações estado como a China e o Irã, como Dalbit e Chafer (também conhecido como Remix Kitten) para se movimentar através dos ambientes das vítimas no passado.
A Redmond disse que começou a observar a nova variante em ataques conduzidos por um afiliado do BlackCat em julho de 2023.
O desenvolvimento ocorre mais de dois meses após a IBM Security X-Force divulgar detalhes da versão atualizada do BlackCat, chamada Sphynx, que surgiu pela primeira vez em fevereiro de 2023 com maior velocidade de criptografia e discrição, apontando para esforços contínuos feitos por atores de ameaças para refinar e retrabalhar o ransomware.
"O exemplo de ransomware BlackCat contém mais do que apenas funcionalidade de ransomware, mas pode funcionar como um 'kit de ferramentas'", observou a IBM Security X-Force em maio de 2023.
"Uma string adicional sugere que o conjunto de ferramentas é baseado em ferramentas do Impacket."
O grupo de crime cibernético, que lançou sua operação em novembro de 2021, é marcado por constante evolução, tendo recentemente lançado uma API de vazamento de dados para tornar seus ataques mais visíveis.
Segundo a Revisão de Ameaças de Meio de Ano da Rapid7 para 2023, o BlackCat foi atribuído a 212 de um total de 1.500 ataques de ransomware.
Não é apenas o BlackCat, pois o grupo de ameaças de ransomware Cuba (também conhecido como COLDRAW) também foi observado utilizando um conjunto de ferramentas de ataque abrangente que inclui BUGHATCH, um downloader personalizado; BURNTCIGAR, um matador de antimalware;
Ransomware continua sendo uma grande fonte de dinheiro para atores de ameaças financeiramente motivados, crescendo tanto em sofisticação quanto em quantidade no primeiro semestre de 2023 do que em todo o ano de 2022, apesar dos esforços de aplicação da lei para derrubá-los.
Alguns grupos também começaram a se afastar da criptografia para pura exfiltração e resgate ou, alternativamente, recorrer a extorsão tripla, nos quais os ataques vão além da criptografia e roubo de dados para chantagear os funcionários ou clientes da vítima e realizar ataques DDoS para aumentar a pressão.
Outra tática notável é o direcionamento de provedores de serviços gerenciados (MSPs) como pontos de entrada para violar redes corporativas downstream, como evidenciado em uma campanha de ransomware Play voltada para financeiras, software, jurídicas e indústrias de transporte e logística, bem como entidades estaduais, locais, tribais e territoriais (SLTT) nos EUA, Austrália, Reino Unido e Itália.
Os ataques aproveitam o "software de monitoramento e gerenciamento remoto (RMM) usado pelos provedores de serviços para ganhar acesso direto ao ambiente do cliente, contornando a maioria de suas defesas", disse a Adlumin, concedendo aos atores de ameaças acesso privilegiado e irrestrito às redes.
O abuso repetido de software RMM legítimo por atores de ameaças fez o governo dos EUA lançar um Plano de Defesa Cibernética para mitigar as ameaças ao ecossistema RMM.
"Atores de ameaças cibernéticas podem obter pontos de apoio por meio de software RMM em servidores de provedores de serviços gerenciados (MSPs) ou provedores de serviços de segurança gerenciada (MSSPs) e, por extensão, podem causar impactos cascata para as pequenas e médias organizações que são clientes de MSPs/MSSPs", alertou a Agência de Segurança de Infraestrutura e Segurança Cibernética dos EUA (CISA).
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...