O que é o Blackcat Ransomware e como se defender dele?

Publicados: 2022-12-27

Um ataque cibernético é uma tentativa deliberada e maliciosa de obter acesso não autorizado a um sistema de computador ou rede por meio de vulnerabilidades existentes. Isso pode ser feito para roubar informações confidenciais e interromper as operações normais.

Nos últimos tempos, o ransomware se tornou a ferramenta de ataque cibernético preferida entre os cibercriminosos. O ransomware geralmente se espalha por e-mails de phishing, downloads drive-by, software pirata e protocolo de mesa remota, entre outros.

Depois que um computador é infectado com ransomware, o ransomware criptografa arquivos críticos no computador. Os hackers exigem um resgate para restaurar os dados criptografados.

Os ataques cibernéticos podem comprometer a segurança nacional de um país, prejudicar operações em setores-chave de uma economia e causar imensos danos e graves perdas financeiras. Foi exatamente isso que aconteceu com o ciberataque do ransomware WannaCry.

hacker

Em 12 de maio de 2017, acredita-se que o ransomware chamado WannaCry tenha se originado na Coreia do Norte, se espalhado pelo mundo e infectado mais de 200.000 sistemas de computador em mais de 150 países em menos de dois dias. Os sistemas de computador direcionados WannaCry executando o sistema operacional Windows. Ele explorou uma vulnerabilidade no protocolo de bloco de mensagens do servidor do sistema operacional.

Uma das maiores vítimas do ataque foi o Serviço Nacional de Saúde do Reino Unido (NHS). Mais de 70.000 de seus dispositivos, incluindo computadores, teatros, equipamentos de diagnóstico e scanners de ressonância magnética, foram infectados. Os médicos não conseguiam acessar seus sistemas ou registros de pacientes necessários para atender os pacientes. Este ataque custou ao NHS cerca de 100 milhões de dólares.

Isso é o quão ruim um pode ficar. No entanto, as coisas podem ficar muito piores, especialmente com Ransomwares novos e mais perigosos, como o BlackCat, que está deixando para trás um caminho cheio de vítimas.

BlackCat Ransomware

BlackCat-Ransomware

O ransomware BlackCat, conhecido como ALPHV por seus desenvolvedores, é um software malicioso que, ao infectar um sistema, exfiltra e criptografa dados no sistema afetado. A exfiltração envolve a cópia e transferência de dados armazenados em um sistema. Depois que o BlackCat exfiltra e criptografa dados críticos, é feito um pedido de resgate pagável em criptomoeda. As vítimas do BlackCat são obrigadas a pagar o resgate exigido para recuperar o acesso aos seus dados.

O BlackCat não é um ransomware comum. O BlackCat foi o primeiro ransomware de sucesso a ser escrito em Rust, ao contrário de outros ransomwares que normalmente são escritos em C, C++, C#, Java ou Python. Além disso, o BlackCat também foi a primeira família de ransomware a ter um site na web transparente, onde vaza informações roubadas de seus ataques.

Outra diferença importante de outro Ransomware é que o BlackCat opera como Ransomware como serviço (RaaS). Raas é um modelo de negócios de cibercrime em que os criadores de ransomware alugam ou vendem seu ransomware como um serviço para outros indivíduos ou grupos.

Nesse modelo, os criadores de ransomware fornecem todas as ferramentas e infraestrutura necessárias para que outros distribuam e executem ataques de ransomware. Isso é em troca de uma parte de seus lucros obtidos com pagamentos de ransomware.

Isso explica por que o BlackCat tem como alvo principalmente organizações e empresas, já que geralmente estão mais dispostos a pagar o resgate em comparação com os indivíduos. Organizações e empresas também pagam um resgate maior em comparação com indivíduos. A orientação humana e a tomada de decisões em ataques cibernéticos são conhecidas como atores de ameaças cibernéticas (CTA).

Para obrigar as vítimas a pagar o resgate, a BlackCat usa a 'técnica de extorsão tripla'. Isso envolve copiar e transferir os dados das vítimas e criptografar os dados em seus sistemas. As vítimas são então solicitadas a pagar um resgate para acessar seus dados criptografados. Se isso não for feito, seus dados vazarão para o público e/ou ataques de negação de serviço (DOS) serão lançados em seus sistemas.

Por fim, aqueles que serão afetados pelo vazamento de dados são contatados e informados de que seus dados serão vazados. Geralmente são clientes, funcionários e outras afiliadas da empresa. Isso é feito para pressionar as organizações vítimas a pagar resgate para evitar perda de reputação e ações judiciais resultantes do vazamento de dados.

Como funciona o BlackCat Ransomware

Como-BlackCat-ransomware-funciona

De acordo com um alerta flash divulgado pelo FBI, o ransomware BlackCat usa credenciais de usuário previamente comprometidas para obter acesso aos sistemas.

Uma vez com sucesso no sistema, o BlackCat usa o acesso que possui para comprometer as contas de usuário e administrador armazenadas no diretório ativo. Isso permite que ele use o Agendador de Tarefas do Windows para configurar Objetos de Política de Grupo (GPOs) maliciosos que permitem que o BlackCat implante seu ransomware para criptografar arquivos em um sistema.

Durante um ataque BlackCat, os scripts do PowerShell são usados ​​junto com o Cobalt Strike para desabilitar os recursos de segurança na rede da vítima. O BlackCat então rouba os dados das vítimas de onde estão armazenados, inclusive de provedores de nuvem. Feito isso, o agente da ameaça cibernética que orienta o ataque implanta o ransomware BlackCat para criptografar os dados no sistema da vítima.

As vítimas então recebem uma nota de resgate informando que seus sistemas sofreram um ataque e arquivos importantes criptografados. O resgate também fornece instruções sobre como pagar o resgate.

Por que o BlackCat é mais perigoso que o ransomware comum?

criptografadoBlackCat

O BlackCat é perigoso em comparação com o ransomware médio por vários motivos:

Está escrito em ferrugem

Rust é uma linguagem de programação rápida, segura e que oferece desempenho aprimorado e gerenciamento de memória eficiente. Ao usar o Rust, o BlackCat colhe todos esses benefícios, tornando-o um ransomware muito complexo e eficiente com criptografia rápida. Isso também dificulta a engenharia reversa do BlackCat. Rust é uma linguagem de plataforma cruzada que permite que os agentes de ameaças personalizem facilmente o BlackCat para atingir diferentes sistemas operacionais, como Windows e Linux, aumentando sua gama de vítimas em potencial.

Ele usa um modelo de negócios RaaS

O uso de ransomware como um modelo de serviço pela BlackCat permite que muitos agentes de ameaças implantem ransomwares complexos sem precisar saber como criar um. O BlackCat faz todo o trabalho pesado para os agentes de ameaças, que só precisam implantá-lo em um sistema vulnerável. Isso facilita ataques sofisticados de ransomware para agentes de ameaças interessados ​​em explorar sistemas vulneráveis.

Oferece grandes pagamentos aos afiliados

Com o BlackCat empregando um modelo Raas, os criadores ganham dinheiro recebendo uma parte do resgate pago aos agentes de ameaças que o implantam. Ao contrário de outras famílias Raas que recebem até 30% do pagamento do resgate de um agente de ameaça, o BlackCat permite que os agentes de ameaça fiquem com 80% a 90% do resgate que fazem. Isso aumenta o apelo do BlackCat para os agentes de ameaças, permitindo que o BlackCat obtenha mais afiliados dispostos a implantá-lo em ataques cibernéticos.

Tem um site de vazamento público na clear web

Ao contrário de outros ransomwares que vazam informações roubadas na dark web, o BlackCat vaza informações roubadas em um site acessível na clear web. Ao vazar os dados roubados em claro, mais pessoas podem acessar os dados, aumentando as repercussões de um ataque cibernético e pressionando mais as vítimas a pagar o resgate.

A linguagem de programação Rust tornou o BlackCat muito eficaz em seu ataque. Ao usar um modelo Raas e oferecer um grande pagamento, o BlackCat atrai mais agentes de ameaças com maior probabilidade de implantá-lo em ataques.

Cadeia de Infecção BlackCat Ransomware

cadeia de infecção

O BlackCat obtém acesso inicial a um sistema usando credenciais comprometidas ou explorando as vulnerabilidades do Microsoft Exchange Server. Depois de obter acesso a um sistema, os agentes mal-intencionados derrubam as defesas de segurança do sistema, coletam informações sobre a rede da vítima e aumentam seus privilégios.

O BlackCat ransomware então se move lateralmente na rede, obtendo acesso ao maior número possível de sistemas. Isso é útil durante a demanda de resgate. Quanto mais sistemas sob ataque, maior a probabilidade de a vítima pagar o resgate.

Atores mal-intencionados exfiltram os dados do sistema que serão usados ​​em extorsão. Uma vez que os dados críticos foram exfiltrados, o palco está montado para que a carga útil do BlackCat seja entregue.

Atores maliciosos entregam BlackCat usando Rust. O BlackCat primeiro interrompe serviços como backups, aplicativos antivírus, serviços de Internet do Windows e máquinas virtuais. Feito isso, o BlackCat criptografa os arquivos no sistema e desfigura a imagem de fundo do sistema, substituindo-a pela nota de resgate.

Proteja-se do BlackCat Ransomware

seguro

Embora o BlackCat esteja provando ser mais perigoso do que outro ransomware visto antes, as organizações podem se proteger do ransomware de várias maneiras:

Criptografar Dados Críticos

Parte da estratégia de extorsão da Blackhat envolve ameaçar vazar os dados da vítima. Ao criptografar dados críticos, uma organização adiciona uma camada extra de proteção a seus dados, prejudicando assim as técnicas de extorsão usadas pelos agentes de ameaças BlackHat. Mesmo que vaze, não estará em um formato legível por humanos.

Atualizar regularmente os sistemas

Em uma pesquisa realizada pela Microsoft, foi revelado que, em alguns casos, o BlackCat explorou servidores Exchange não corrigidos para obter acesso aos sistemas de uma organização. As empresas de software lançam regularmente atualizações de software para solucionar vulnerabilidades e problemas de segurança que podem ter sido descobertos em seus sistemas. Por segurança, instale os patches de software assim que estiverem disponíveis.

Faça backup dos dados em um local seguro

As organizações devem priorizar o backup regular de dados e o armazenamento dos dados em um local offline separado e seguro. Isso é para garantir que, mesmo no caso de dados críticos serem criptografados, eles ainda possam ser restaurados a partir de backups existentes.

Implemente a autenticação multifator

Além de usar senhas fortes em um sistema, implemente a autenticação multifator, que requer várias credenciais antes que o acesso a um sistema seja concedido. Isso pode ser feito configurando um sistema para gerar uma senha única enviada para um número de telefone ou e-mail vinculado, que é necessário para acessar um sistema.

Monitore a atividade em uma rede e arquivos em um sistema

As organizações devem monitorar constantemente a atividade em suas redes para detectar e responder a atividades suspeitas em suas redes o mais rápido possível. As atividades em uma rede também devem ser registradas e revisadas por especialistas em segurança para identificar possíveis ameaças. Finalmente, sistemas devem ser implantados para rastrear como os arquivos em um sistema são acessados, quem os acessa e como são usados.

Ao criptografar dados críticos, garantindo que os sistemas estejam atualizados, fazendo backup de dados regularmente, implementando autenticação multifator e monitorando a atividade em um sistema. As organizações podem estar um passo à frente e evitar ataques da BlackCat.

Recursos de aprendizado: ransomware

Para saber mais sobre ataques cibernéticos e como se proteger contra ataques de ransomware como o BlackCat, recomendamos fazer um desses cursos ou ler os livros sugeridos abaixo:

#1. Treinamento de conscientização de segurança

Treinamento de conscientização de segurança

Este é um curso incrível para todos os interessados ​​em estar seguros na internet. O curso é oferecido pelo Dr. Michael Biocchi, um Certified Information Systems Security Professional (CISSP).

O curso abrange phishing, engenharia social, vazamento de dados, senhas, navegação segura e dispositivos pessoais e oferece dicas gerais sobre como estar seguro online. O curso é atualizado regularmente e todos os usuários da Internet podem se beneficiar dele.

#2. Treinamento de conscientização de segurança, segurança na Internet para funcionários

Segurança-Awareness-Training-Internet-Security-for-Employees

Este curso foi desenvolvido para usuários comuns da Internet e tem como objetivo educá-los sobre ameaças de segurança que muitas vezes as pessoas desconhecem e como se proteger contra essas ameaças.

O curso oferecido por Roy Davis, um especialista em segurança da informação certificado pela CISSP, abrange a responsabilidade do usuário e do dispositivo, phishing e outros e-mails maliciosos, engenharia social, manipulação de dados, senha e questões de segurança, navegação segura, dispositivos móveis e Ransomware. A conclusão do curso fornece um certificado de conclusão, o que é suficiente para estar em conformidade com as políticas de regulamentação de dados na maioria dos locais de trabalho.

#3. Segurança cibernética: treinamento de conscientização para iniciantes absolutos

Cíber segurança

Este é um curso da Udemy oferecido por Usman Ashraf da Logix Academy, uma startup de Treinamento e Certificações. Usman é certificado pelo CISSP e tem Ph.D. em redes de computadores e muita experiência na indústria e no ensino.

Este curso oferece aos alunos um mergulho profundo em engenharia social, senhas, descarte seguro de dados, redes privadas virtuais (VPNs), malware, ransomware e dicas de navegação segura e explica como os cookies são usados ​​para rastrear pessoas. O curso não é técnico.

#4. Ransomware revelado

Este é um livro de Nihad A. Hassan, consultor independente de segurança da informação e especialista em segurança cibernética e forense digital. O livro ensina como mitigar e lidar com ataques de ransomware e oferece aos leitores uma visão aprofundada dos diferentes tipos de ransomware existentes, suas estratégias de distribuição e métodos de recuperação.

Visualização produtos Avaliação Preço
Ransomware revelado: um guia para iniciantes sobre proteção e recuperação de ataques de ransomware Ransomware revelado: um guia para iniciantes sobre proteção e recuperação de ataques de ransomware $ 23,74

O livro também aborda as etapas a serem seguidas em caso de infecção por ransomware. Isso abrange como pagar resgates, como realizar backups e restaurar arquivos afetados e como pesquisar online por ferramentas de descriptografia para descriptografar arquivos infectados. Ele também aborda como as organizações podem desenvolver um plano de resposta a incidentes de ransomware para minimizar os danos do ransomware e recuperar as operações normais rapidamente.

#5. Ransomware: Entenda. Evita. Recuperar

Neste livro, Allan Liska, um arquiteto de segurança sênior e especialista em ransomware da Recorded Future, responde a todas as perguntas difíceis relacionadas ao Ransomware.

Visualização produtos Avaliação Preço
Ransomware: Entenda. Evita. Recuperar. Ransomware: Entenda. Evita. Recuperar. US$ 17,99

O livro fornece um contexto histórico de por que o ransomware se tornou predominante nos últimos anos, como interromper ataques de ransomware, vulnerabilidades que agentes mal-intencionados visam usando ransomware e um guia para sobreviver a um ataque de ransomware com danos mínimos. Além disso, o livro responde à pergunta mais importante: você deve pagar o resgate? Este livro oferece uma exploração empolgante do ransomware.

#6. Manual de Proteção contra Ransomware

Para qualquer indivíduo ou organização que queira se proteger contra o ransomware, este livro é uma leitura obrigatória. Neste livro, Roger A. Grimes, especialista em segurança e penetração de computadores, oferece sua vasta experiência e conhecimento na área para ajudar pessoas e organizações a se protegerem de ransomware.

Visualização produtos Avaliação Preço
Manual de Proteção contra Ransomware Manual de Proteção contra Ransomware $ 17,00

O livro oferece um modelo acionável para organizações que buscam formular defesas robustas contra ransomware. Também ensina como detectar um ataque, limitar os danos rapidamente e determinar se deve pagar o resgate ou não. Ele também oferece um plano de jogo para ajudar as organizações a limitar a reputação e os danos financeiros causados ​​por graves violações de segurança.

Por fim, ensina como criar uma base segura para seguro de segurança cibernética e proteção legal para mitigar a interrupção dos negócios e da vida cotidiana.

Nota do autor

O BlackCat é um ransomware revolucionário que está destinado a mudar o status quo quando se trata de segurança cibernética. Em março de 2022, a BlackCat havia atacado com sucesso mais de 60 organizações e conseguiu chamar a atenção do FBI. BlackCat é uma ameaça séria e nenhuma organização pode se dar ao luxo de ignorá-la.

Ao empregar uma linguagem de programação moderna e métodos não convencionais de ataque, criptografia e extorsão de resgate, a BlackCat deixou os especialistas em segurança tentando recuperar o atraso. No entanto, a guerra contra este ransomware não está perdida.

Ao implementar as estratégias destacadas neste artigo e minimizar a oportunidade de erro humano expor os sistemas de computador, as organizações podem ficar um passo à frente e evitar o ataque catastrófico do ransomware BlackCat.