Sophos X-Ops presenta gli ultimi risultati di intelligence sulle minacce. La banda di ransomware BlackCat utilizza lo strumento di pentesting Brute Ratel come nuovo strumento di attacco. La serie di attacchi mostra come i criminali informatici infettano i computer in tutto il mondo attraverso firewall senza patch e servizi VPN.
Sophos X-Ops rivela nel nuovo rapporto BlackCat Ransomware Attacks Not Merely a Byproduct of Bad Luck che la banda di ransomware ha aggiunto lo strumento di pentesting Brute Ratel al suo arsenale di strumenti di attacco. L'articolo descrive una serie di attacchi ransomware in cui BlackCat ha utilizzato firewall e servizi VPN senza patch o obsoleti per penetrare reti e sistemi vulnerabili in vari settori in tutto il mondo.
BlackCat con ransomware come servizio
Il ransomware BlackCat è emerso per la prima volta nel novembre 2021 come "leader" autoproclamato nello spazio ransomware-as-a-service e ha rapidamente attirato l'attenzione per il suo insolito linguaggio di programmazione Rust. Già nel dicembre 2021, le aziende interessate hanno contattato Sophos Rapid Response per indagare su almeno cinque attacchi con BlackCat. Quattro di questi incidenti sono stati inizialmente infettati sfruttando le vulnerabilità nei prodotti di vari fornitori di firewall. Una di queste vulnerabilità risale al 2018, un'altra è stata scoperta lo scorso anno. Una volta all'interno della rete, i criminali informatici sono stati in grado di ottenere le credenziali VPN memorizzate su questi firewall. Ciò ha consentito loro di accedere come utenti autorizzati e quindi di intrufolarsi nei sistemi utilizzando il Remote Desktop Protocol (RDP).
Come nei precedenti incidenti BlackCat, gli aggressori hanno anche utilizzato strumenti open source e disponibili in commercio per creare ulteriori backdoor e modi alternativi per accedere in remoto ai sistemi presi di mira. Questi includevano TeamViewer, nGrok, Cobalt Strike e Brute Ratel.
Framework C2 post-sfruttamento Brute Ratel
“Nei recenti BlackCat e altri attacchi, abbiamo visto gli attori delle minacce lavorare in modo molto efficiente ed efficace. Usano le migliori pratiche come attacchi a firewall e VPN vulnerabili. Ma sono stati anche molto innovativi nell'eludere le misure di sicurezza e hanno trasferito i loro attacchi al più recente framework C2 post-sfruttamento Brute Ratel", spiega Christopher Budd, senior manager, ricerca sulle minacce di Sophos.
Attacchi senza uno schema chiaro
Tuttavia, non è stato possibile osservare alcun modello chiaro negli attacchi. Si sono svolti negli Stati Uniti, in Europa e in Asia presso grandi aziende operanti in vari segmenti industriali. Tuttavia, le aziende attaccate presentavano alcune vulnerabilità nel loro ambiente che rendevano più facile il lavoro degli aggressori. Questi includevano sistemi obsoleti che non potevano più essere aggiornati con le ultime patch di sicurezza, mancanza di autenticazione a più fattori per VPN e reti piatte (rete di nodi peer)
"Il comune denominatore di tutti questi attacchi è che erano facili da eseguire", ha detto Budd. “In un caso, gli stessi aggressori BlackCat hanno installato dei cryptominer un mese prima del lancio del ransomware. La nostra recente ricerca evidenzia l'importanza di seguire le migliori pratiche di sicurezza. Puoi comunque prevenire e contrastare gli attacchi, anche multipli su una singola rete.”
Maggiori informazioni su Sophos.com
A proposito di Sophos Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.