O Malware Bancário Carbanak Ressurge com Novas Táticas de Ransomware
26 de Dezembro de 2023

O malware bancário conhecido como Carbanak tem sido observado sendo usado em ataques de ransomware com táticas atualizadas.

"O malware se adaptou para incorporar fornecedores de ataques e técnicas para diversificar sua eficácia", disse a empresa de segurança cibernética NCC Group em uma análise dos ataques de ransomware que ocorreram em novembro de 2023.

"Carbanak voltou no mês passado por meio de novas cadeias de distribuição e tem sido distribuído por meio de sites comprometidos para se passar por vários softwares relacionados a negócios."

Algumas das ferramentas que foram imitadas incluem softwares relacionados a negócios populares, como HubSpot, Veeam e Xero.

Carbanak, detectado na natureza desde pelo menos 2014, é conhecido por suas características de exfiltração de dados e controle remoto.

Começando como um malware bancário, ele tem sido usado pelo sindicato de crimes cibernéticos FIN7.

Na última cadeia de ataques documentada pelo grupo NCC, os sites comprometidos são projetados para hospedar arquivos de instaladores maliciosos disfarçados de utilitários legítimos para acionar a implantação do Carbanak.

O desenvolvimento ocorre após 442 ataques de ransomware terem sido relatados no mês passado, acima dos 341 incidentes em outubro de 2023.

Um total de 4.276 casos foi relatado até agora neste ano, o que é "menos de 1000 incidentes a menos do que o total para 2021 e 2022 combinados (5.198).”

Os dados da empresa mostram que os setores industriais (33%), de consumo cíclico (18%) e saúde (11%) emergiram como os setores mais visados, com a América do Norte (50%), Europa (30%) e Ásia (10%) respondendo pela maior parte dos ataques.

Quanto às famílias de ransomware mais comumente identificadas, LockBit, BlackCat e Play contribuíram para 47% (ou 206 ataques) dos 442 ataques.

Com o desmantelamento do BlackCat pelas autoridades neste mês, resta saber qual impacto a ação terá no cenário de ameaças no futuro próximo.

"Com um mês ainda restante do ano, o número total de ataques já ultrapassou 4.000, o que marca um grande aumento em relação a 2021 e 2022, então será interessante ver se os níveis de ransomware continuarão a subir no próximo ano", disse Matt Hull, chefe global de inteligência de ameaças do grupo NCC.

O aumento nos ataques de ransomware em novembro também foi corroborado pela empresa de seguro cibernético Corvus, que disse ter identificado 484 novas vítimas de ransomware postadas em sites de vazamento.

"O ecossistema de ransomware em geral conseguiu se afastar com sucesso do QBot", disse a empresa.

"Fazer explorações de software e famílias alternativas de malware fazem parte de seu repertório está dando resultados para os grupos de ransomware."

Embora a mudança seja o resultado de uma ação da força-tarefa contra a infraestrutura do QBot (também conhecido como QakBot), a Microsoft, na semana passada, divulgou detalhes de uma campanha de phishing de baixo volume distribuindo o malware, destacando os desafios de desmantelar completamente esses grupos.

O desenvolvimento ocorre à medida que a Kaspersky revelou que as medidas de segurança do ransomware Akira impedem que seu site de comunicação seja analisado ao gerar exceções ao tentar acessar o site usando um depurador no navegador.

A empresa russa de segurança cibernética destacou ainda a exploração dos operadores de ransomware de diferentes falhas de segurança no driver do Sistema de Arquivos de Log Comum do Windows (CLFS) - CVE-2022-24521 , CVE-2022-37969 , CVE-2023-23376 , CVE-2023-28252 (pontuação CVSS: 7,8) - para escalada de privilégios.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...