{"id":19319,"date":"2022-04-26T09:48:20","date_gmt":"2022-04-26T12:48:20","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=19319"},"modified":"2022-05-05T08:59:31","modified_gmt":"2022-05-05T11:59:31","slug":"blackcat-ransomware-br","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/blackcat-ransomware-br\/19319\/","title":{"rendered":"Brasil j\u00e1 \u00e9 o segundo pa\u00eds mais atacado por novo grupo de ransomware"},"content":{"rendered":"

Em um novo relat\u00f3rio, chamado \u201cA bad luck BlackCat<\/a>\u201c, nossos pesquisadores revelam os detalhes de dois incidentes cibern\u00e9ticos realizados pelo grupo de ransomware BlackCat. A complexidade do malware usado, associada \u00e0 vasta experi\u00eancia dos agentes que est\u00e3o por tr\u00e1s dele, fazem desse grupo um dos principais grupos de cibercriminosos \u00a0que atacam com ransomware que j\u00e1 adentraram na Am\u00e9rica Latina, com o Brasil entre os cinco principais pa\u00edses do mundo. As ferramentas e t\u00e9cnicas que o grupo implementa durante os ataques confirmam a conex\u00e3o entre o BlackCat e outros perigosos grupos de ransomware, como BlackMatter e REvil.<\/p>\n

O grupo de ransomware BlackCat \u00e9 um agente de amea\u00e7as que opera desde, pelo menos, dezembro de 2021. Diferentemente de muitos agentes de ransomware, o malware do BlackCat \u00e9 escrito na linguagem de programa\u00e7\u00e3o Rust. Gra\u00e7as \u00e0s avan\u00e7adas funcionalidades de compila\u00e7\u00e3o cruzada do Rust, o BlackCat consegue atingir sistemas Windows e Linux. Em outras palavras, o BlackCat introduziu avan\u00e7os progressivos e uma mudan\u00e7a nas tecnologias usadas para vencer os desafios do desenvolvimento de ransomware.<\/p>\n

O BlackCat alega<\/a> ser sucessor de grupos de ransomware conhecidos, como BlackMatter e REvil. A telemetria da Kaspersky sugere que pelo menos alguns membros do novo grupo t\u00eam liga\u00e7\u00f5es diretas com o BlackMatter, pois usam ferramentas e t\u00e9cnicas que j\u00e1 foram amplamente usadas pelo grupo.<\/p>\n

Nos \u00faltimos 12 meses de atua\u00e7\u00f5es desses grupos, identificamos atividades do REvil em alguns pa\u00edses da Am\u00e9rica Latina, principalmente no Brasil, Col\u00f4mbia e M\u00e9xico. Esse destaque tamb\u00e9m se d\u00e1 ao BlackMatter, que registrou detec\u00e7\u00f5es no Brasil e na Rep\u00fablica Dominicana; por esse motivo, os ataques do BlackCat mostram-se sendo expandidos por toda regi\u00e3o.<\/p>\n

\"\"

Ataques do REvil (Sodin, na nomenclatura da Kaspersky) nos \u00faltimos 12 meses<\/p><\/div>\n

\"\"

Ataques do BlackMatter nos \u00faltimos 12 meses<\/p><\/div>\n

No relat\u00f3rio, os pesquisadores da empresa esclareceram dois incidentes cibern\u00e9ticos particularmente interessantes. Um deles demonstra o risco que recursos de hospedagem compartilhada na nuvem representam, e o outro exibe uma abordagem \u00e1gil de reutiliza\u00e7\u00e3o de malware personalizado entre as atividades do BlackMatter e do BlackCat.<\/p>\n

O primeiro caso examina um ataque contra um provedor de ERP (planejamento de recursos empresariais) vulner\u00e1vel no Oriente M\u00e9dio que hospeda v\u00e1rios sites. Os atacantes entregaram ao mesmo tempo dois execut\u00e1veis diferentes para o mesmo servidor f\u00edsico, visando duas organiza\u00e7\u00f5es diferentes hospedadas virtualmente nele. Embora a gangue tenha interpretado incorretamente o servidor infectado como se fossem dois sistemas f\u00edsicos diferentes, os invasores deixaram rastros que foram importantes para determinar o estilo de opera\u00e7\u00e3o do BlackCat. Os nossos pesquisadores conclu\u00edram que o agente explora o risco de ativos compartilhados entre recursos de nuvem. Al\u00e9m disso, nesse caso, o grupo tamb\u00e9m entregou um arquivo de instru\u00e7\u00f5es Mimikatz com execut\u00e1veis e utilit\u00e1rios de recupera\u00e7\u00e3o de senhas da Nirsoft. Um incidente semelhante ocorreu em 2019 quando o Revil, antecessor \u00e0 atividade do BlackMatter, pareceu invadir um servi\u00e7o de nuvem que respalda muitos consult\u00f3rios dent\u00e1rios nos EUA. \u00c9 prov\u00e1vel que o BlackCat tamb\u00e9m tenha adotado algumas dessas t\u00e1ticas mais antigas.<\/p>\n

O segundo caso envolve uma empresa de petr\u00f3leo, g\u00e1s, minera\u00e7\u00e3o e constru\u00e7\u00e3o na Am\u00e9rica do Sul, e revela a conex\u00e3o entre as atividades de ransomware do BlackCat e do BlackMatter. Antes de tentar entregar o ransomware BlackCat dentro da rede visada, o associado por tr\u00e1s desse ataque (que parece ser diferente daquele no caso anterior) tamb\u00e9m instalou um utilit\u00e1rio de exfiltra\u00e7\u00e3o personalizado modificado que chamamos \u201cFendr\u201d. Esse utilit\u00e1rio, tamb\u00e9m conhecido como ExMatter, j\u00e1 foi usado exclusivamente como parte da atividade de ransomware do BlackMatter.<\/p>\n

\u201cDepois que os grupos REvil e BlackMatter encerraram suas opera\u00e7\u00f5es, era apenas quest\u00e3o de tempo para que outro grupo de ransomware se apoderasse do nicho deles. O conhecimento do desenvolvimento do malware, uma nova amostra criada do zero em uma linguagem de programa\u00e7\u00e3o rara e a experi\u00eancia de manuten\u00e7\u00e3o da infraestrutura est\u00e3o fazendo do grupo BlackCat um participante importante no mercado de ransomware. Ao analisar esses grandes incidentes, destacamos os principais recursos, ferramentas e t\u00e9cnicas usadas pelo BlackCat ao invadir as redes de suas v\u00edtimas. Esse conhecimento nos ajuda a manter nossos usu\u00e1rios seguros e protegidos de amea\u00e7as conhecidas e desconhecidas. N\u00f3s insistimos que a comunidade da ciberseguran\u00e7a deve unir for\u00e7as e trabalhar em conjunto contra os novos grupos de cibercriminosos em prol de um futuro mais seguro\u201d<\/em>, comenta Dmitry Galov, pesquisador de seguran\u00e7a da Equipe de Pesquisa e An\u00e1lise Global da Kaspersky<\/strong>.<\/p>\n

Para ajudar as empresas a se proteger de ataques de ransomware, especialistas recomendam que organiza\u00e7\u00f5es adotem as seguintes medidas assim que poss\u00edvel:<\/p>\n