O que é o ransomware BlackCat?

O ransomware BlackCat, também conhecido como ransomware Noberus ou ALPHV, é um tipo de malware criado por um grupo de cibercriminosos que falam russo. Acredita-se que vários membros desse grupo tenham links para o DarkSide e o BlackMatter, dois grupos de ransomware que estão extintos. Desde sua primeira aparição em 2021, o BlackCat se tornou uma das formas mais ativas de ransomware. Acredita-se que uma nova variante chamada "Sphynx" opere com velocidade e eficiência ainda maiores. O BlackCat foi escrito na linguagem de programação Rust e é mais difícil de remover do que outros tipos de ameaças de ransomware. As vítimas de ataques do ransomware BlackCat são empresas nas áreas de construção, fabricação, energia, saúde, tecnologia e varejo.

Os agentes mal-intencionados que usam o BlackCat obtêm acesso inicial a ambientes de TI e contas de usuário de várias maneiras, incluindo protocolos de desktop remoto, credenciais comprometidas e vulnerabilidades do servidor exchange. Alguns usam anúncios do Google para promover downloads falsos de softwares populares; quando os usuários clicam em um link, eles baixam o malware em vez de softwares legítimos. Depois que a carga de malware infecta dispositivos dentro de uma rede, os cibercriminosos a usam para criptografar arquivos e dados em servidores e máquinas individuais, impedindo que os usuários os acessem. Os grupos BlackCat também podem exfiltrar dados confidenciais antes de criptografá-los, para depois ameaçar a exposição dos dados, a menos que o resgate seja pago.

A família de ransomware BlackCat é diferente de outros tipos de ataques de ransomware por vários motivos principais.

• Ransomware como serviço. O BlackCat opera em um modelo de ransomware como serviço (RaaS), no qual os criadores do malware permitem que outros grupos o utilizem, em troca de uma porcentagem do resgate.
• Pagamentos mais altos. Os hackers por trás do BlackCat oferecem um pagamento de 80% a 90% para afiliados criminosos que usam o software, enquanto o pagamento típico é de 70%.
• Nova linguagem de programação. O BlackCat é a primeira cepa do ransomware escrita em Rust, que é uma linguagem de programação rápida, estável e segura, que pode ser executada em sistemas Windows e não Windows, como Linux e máquinas virtuais em instâncias VMware. Até o momento, poucas formas de malware têm como alvo sistemas baseados em Linux, de modo que as equipes de segurança que gerenciam ambientes baseados em Linux podem estar menos preparadas para responder às consequências devastadoras desse ataque cibernético. Como muitas soluções de segurança são menos eficazes na análise de ameaças escritas em Rust e outras linguagens de programação modernas, algumas ferramentas de segurança têm maior dificuldade em reconhecer e mitigar o BlackCat.
• Personalizável. Os operadores do BlackCat podem personalizar o ransomware para trabalhar em diferentes sistemas operacionais, alcançando uma variedade maior de possíveis alvos. Os operadores podem escolher entre diferentes algoritmos de criptografia, personalizar a nota de resgate, especificar os arquivos a serem ignorados e escolher serviços e processos específicos a serem encerrados.
• Ameaça tripla. Os agentes de ameaça que usam o BlackCat geralmente empregam táticas de extorsão tripla, exigindo um resgate para descriptografar arquivos infectados, para não publicar dados roubados e para não iniciar um ataque de DoS (negação de serviço) ou ataque de DDoS (negação de serviço distribuída) contra a vítima.
• Website para vazamento de dados públicos. O grupo por trás do BlackCat criou um website na Internet pública para vazar os dados de ataques bem-sucedidos. Isso aumenta a visibilidade das operações de ransomware BlackCat entre os cibercriminosos e torna as vítimas mais propensas a sucumbir à extorsão e a pagar o resgate.

Há vários sinais que podem indicar que um ataque de ransomware usa o malware BlackCat. Os indicadores de comprometimento (IOCs) incluem assinaturas de hash de arquivo, endereços IP de comando e controle e domínios específicos liberados pelo FBI e outras análises. Os ataques do BlackCat geralmente usam uma nota de resgate exclusiva ou personalizada, que pode incluir um link para um website Tor exclusivo que revela evidências de dados que foram anteriormente exfiltrados e resgatados. O BlackCat também acrescenta extensões únicas e aleatórias aos arquivos criptografados em cada campanha e cria um arquivo chamado "RECOVER-<random>-NOTES.txt" em cada diretório que contém arquivos resgatados.

Os mesmos métodos e controles usados para evitar outros tipos de ataques de crime cibernético e ransomware podem ser eficazes contra ataques do BlackCat.

• Microssegmentação. Ao limitar estritamente o acesso a ativos de TI individuais ou a pequenos subconjuntos de uma rede, a microssegmentação definida por software pode impedir o tipo de movimento lateral que é essencial para ataques de ransomware.
• Treinamento de conscientização sobre segurança. Educar os funcionários é uma parte essencial da prevenção de ransomware. O treinamento de conscientização deve incluir práticas recomendadas para a higiene de segurança, bem como formas de reconhecer e-mails de phishing e outras técnicas comuns para a distribuição de ransomware.
• Criptografia. Por meio da criptografia, as organizações podem impedir que invasores de ransomware roubem e exponham dados confidenciais.
• Controle robusto de identidade e acesso. Ao implementar senhas e técnicas robustas como a autenticação multifator, as organizações são capazes de restringir quem pode visualizar ou modificar dados, reduzindo o risco ou o escopo de uma infecção por ransomware BlackCat.
• Backups. Os backups regulares de dados permitem que as organizações se recuperem rapidamente de uma infecção por ransomware sem ter que pagar um resgate ou perder permanentemente os arquivos. Os backups devem ser armazenados em um local seguro que não esteja conectado a computadores ou à rede para evitar que esses locais de armazenamento sejam infectados.
• Cadência ideal de aplicação de patches. A instalação regular de atualizações e patches de segurança pode ajudar a resolver as vulnerabilidades de hardware, aplicações e APIs das quais os invasores podem se beneficiar.
• Monitoramento contínuoOs administradores de rede devem monitorar continuamente o tráfego de entrada e de saída para procurar padrões incomuns que possam indicar um acometimento de ransomware ou outros tipos de ataques cibernéticos.
• A segurança de pontos de extremidade. Os serviços de segurança de pontos de extremidade fornecem proteção no nível do dispositivo para reconhecer e bloquear ataques.
• Segurança dos serviços de nuvem. Ao escolher provedores de serviços de nuvem, as organizações devem garantir que as equipes de segurança entendam o modelo de responsabilidade compartilhada para a segurança envolvida em muitos serviços de nuvem e garantir que os provedores estejam em conformidade com padrões reconhecidos e estruturas de qualidade, como PCI DSS ou a certificação FedRAMP.
• Proteção contra vazamento de dados (DLP). As soluções de DLP permitem a classificação granular de dados com base na sensibilidade e podem alertar as equipes de segurança em tempo real quando possíveis incidentes de ransomware ou exfiltração de dados ocorrerem.