{"id":19314,"date":"2022-04-26T09:00:29","date_gmt":"2022-04-26T12:00:29","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=19314"},"modified":"2022-04-26T10:05:30","modified_gmt":"2022-04-26T13:05:30","slug":"black-cat-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/black-cat-ransomware\/19314\/","title":{"rendered":"BlackCat: novo player no neg\u00f3cio de ransomware"},"content":{"rendered":"<p>Nenhum mercado tolera o vazio e isso tamb\u00e9m se aplica ao ransomware. Depois que os grupos BlackMatter e REvil cessaram suas opera\u00e7\u00f5es, o surgimento de novos jogadores era apenas uma quest\u00e3o de tempo. E aqui est\u00e1 um deles \u2014 em dezembro passado, an\u00fancios para os servi\u00e7os do grupo ALPHV, tamb\u00e9m conhecido como BlackCat, apareceram em f\u00f3runs de hackers. Ap\u00f3s v\u00e1rios incidentes, nossos especialistas da Equipe Global de Pesquisa e An\u00e1lise (GReAT) decidiram estudar cuidadosamente a atividade desse grupo e publicar um relat\u00f3rio abrangente no <a href=\"https:\/\/securelist.com\/a-bad-luck-blackcat\/106254\/\" target=\"_blank\" rel=\"noopener\">site da Securelist<\/a>.<\/p>\n<p>Nos an\u00fancios, os invasores mencionaram que estudaram os erros e problemas de seus antecessores e criaram uma vers\u00e3o aprimorada do malware. No entanto, h\u00e1 sinais de que sua conex\u00e3o com os grupos BlackMatter e REvil pode ser muito mais \u00edntima do que eles est\u00e3o querendo mostrar.<\/p>\n<h2>Quem \u00e9 o grupo BlackCat e que ferramentas eles usam?<\/h2>\n<p>Os criadores do ransomware BlackCat oferecem seus servi\u00e7os sob o esquema Ransomware-as-a-Service (RaaS). Em outras palavras, eles fornecem a outros invasores acesso \u00e0 sua infraestrutura e c\u00f3digo malicioso e, em troca, recebem certa parte do resgate. Al\u00e9m disso, os membros da gangue BlackCat provavelmente tamb\u00e9m s\u00e3o respons\u00e1veis pelas negocia\u00e7\u00f5es com as v\u00edtimas. Portanto, a \u00fanica coisa que seu \u201cfranqueado\u201d teria que fazer sozinho \u00e9 ter acesso ao ambiente corporativo. Esse princ\u00edpio \u201ccuidamos de tudo\u201d \u00e9 a raz\u00e3o pela qual o BlackCat ganhou for\u00e7a t\u00e3o rapidamente: seu malware j\u00e1 \u00e9 usado para atacar empresas em todo o mundo.<\/p>\n<p>O arsenal do BlackCat consiste em v\u00e1rios itens. O primeiro \u00e9 o criptografador de mesmo nome. Est\u00e1 escrito na linguagem Rust, gra\u00e7as \u00e0 qual os invasores conseguiram criar uma ferramenta multiplataforma com vers\u00f5es do malware que funcionam tanto em ambientes Windows quanto Linux.<\/p>\n<p>O segundo \u00e9 o utilit\u00e1rio Fendr, que \u00e9 usado para exfiltrar dados da infraestrutura infectada. O uso dessa ferramenta sugere que o BlackCat pode ser simplesmente um rebranding da fac\u00e7\u00e3o BlackMatter \u2013 eles eram a \u00fanica gangue conhecida a usar essa ferramenta, que tamb\u00e9m \u00e9 conhecida como ExMatter.<\/p>\n<p>A BlackCat tamb\u00e9m emprega a ferramenta PsExec para movimenta\u00e7\u00e3o lateral na rede da v\u00edtima; Mimikatz, o conhecido software hacker, e o software Nirsoft para extrair senhas de rede.<\/p>\n<p>Voc\u00ea pode encontrar mais informa\u00e7\u00f5es t\u00e9cnicas sobre os m\u00e9todos e ferramentas do BlackCat, bem como os indicadores de comprometimento <a href=\"https:\/\/www.kaspersky.com\/blog\/anti-ransomware-strategy\/44082\/\" target=\"_blank\" rel=\"noopener nofollow\">nesta postagem do blog Securelist<\/a>.<\/p>\n<h2>Quem s\u00e3o as v\u00edtimas do BlackCat?<\/h2>\n<p>Entre os incidentes de ransomware BlackCat, nossos especialistas viram pelo menos um ataque a uma empresa industrial sul-americana envolvida em petr\u00f3leo, g\u00e1s, minera\u00e7\u00e3o e constru\u00e7\u00e3o, bem como a infec\u00e7\u00e3o de v\u00e1rios clientes de um provedor de planejamento de recursos empresariais do Oriente M\u00e9dio.<\/p>\n<p>Um dos fatos mais preocupantes \u00e9 a evolu\u00e7\u00e3o do Fendr. No momento, a ferramenta pode baixar automaticamente uma gama muito maior de arquivos, em compara\u00e7\u00e3o com casos anteriores de ataques do grupo BlackMatter. Os cibercriminosos adicionaram recentemente a capacidade de localizar arquivos com a seguinte lista de extens\u00f5es: .sqlite, .catproduct, .rdp, .accdb, .catpart, .catdrawing, .3ds, .dwt e .dxf. Esses tipos de arquivos est\u00e3o relacionados a aplicativos de design industrial e ferramentas de acesso remoto, e isso pode ser o sinal de que os criadores de malware est\u00e3o visando ambientes industriais.<\/p>\n<h2>Como se manter seguro?<\/h2>\n<p>Para evitar que sua empresa perca informa\u00e7\u00f5es importantes, recomendamos primeiro proteger todos os dispositivos corporativos usando <a href=\"https:\/\/www.kaspersky.com.br\/small-to-medium-business-security?icid=br_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">solu\u00e7\u00f5es de seguran\u00e7a confi\u00e1veis<\/a> e, em segundo lugar, treinar <a href=\"https:\/\/k-asap.com\/pt\/?icid=br_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder____kasap___\" target=\"_blank\" rel=\"noopener\">funcion\u00e1rios nos conceitos b\u00e1sicos de seguran\u00e7a da informa\u00e7\u00e3o<\/a> regularmente.<\/p>\n<p>Com o aumento cont\u00ednuo do ransomware como servi\u00e7o, \u00e9 mais importante do que nunca que qualquer empresa esteja preparada para um incidente e tenha uma <a href=\"https:\/\/www.kaspersky.com.br\/blog\/anti-ransomware-strategy\/19289\/\" target=\"_blank\" rel=\"noopener\">estrat\u00e9gia anti-ransomware<\/a> em v\u00e1rios n\u00edveis.<\/p>\n<p><img decoding=\"async\" class=\"aligncenter size-full wp-image-15159\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2020\/05\/08140232\/ransomware-protection-desktop-br.png\" alt=\"Prote\u00e7\u00e3o anti-ransomware confi\u00e1vel\" width=\"1340\" height=\"400\"><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Nossos especialistas investigaram a atividade e estudaram as ferramentas da gangue de ransomware BlackCat.<\/p>\n","protected":false},"author":2581,"featured_media":19315,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1655,1656],"tags":[2762,83],"class_list":{"0":"post-19314","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-criptografadores","11":"tag-ransomware"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/black-cat-ransomware\/19314\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/black-cat-ransomware\/24055\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/black-cat-ransomware\/19541\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/black-cat-ransomware\/26379\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/black-cat-ransomware\/24326\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/black-cat-ransomware\/24673\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/black-cat-ransomware\/27085\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/black-cat-ransomware\/33086\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/black-cat-ransomware\/10634\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/black-cat-ransomware\/44120\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/black-cat-ransomware\/18784\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/black-cat-ransomware\/28475\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/black-cat-ransomware\/24954\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/black-cat-ransomware\/30406\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/black-cat-ransomware\/30174\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/ransomware\/","name":"ransomware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/19314","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=19314"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/19314\/revisions"}],"predecessor-version":[{"id":19325,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/19314\/revisions\/19325"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/19315"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=19314"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=19314"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=19314"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}