O fornecedor de gasolina Oiltanking é uma vítima proeminente do novo grupo de ransomware ALPHV – BlackCat. Varonis Threat Labs: Recrutamento direcionado de parceiros por meio de ofertas financeiramente atraentes com pagamentos de até 90% dos lucros.
Desde o final de 2021, o Varonis Threat Labs observou um aumento na atividade do grupo de ransomware ALPHV (também conhecido como BlackCat), que está recrutando ativamente novos parceiros como provedor de ransomware como serviço (RaaS), incluindo (ex) membros de outras gangues como REvil, Black Matter e Dark Side. O ataque ao fornecedor de postos de gasolina Oiltanking, que afetou a Shell, entre outros, remonta à BlackCat. Outros alvos incluem empresas maiores em uma ampla gama de setores, incluindo serviços empresariais, construção, energia, moda, finanças, logística, manufatura, produtos farmacêuticos, varejo e tecnologia. As vítimas vêm principalmente da Austrália, França, Alemanha, Itália, Holanda, Espanha, Grã-Bretanha e Estados Unidos. As reivindicações variam de 400.000 a 3 milhões de dólares americanos.
BlackCat exige resgates na casa dos milhões
O ALPHV foi observado pela primeira vez em novembro de 2021 e oferece ransomware como serviço. A tática usual de dupla extorsão, na qual os dados confidenciais são roubados antes da criptografia e as vítimas são ameaçadas de publicação, é expandida por um nível de escalonamento adicional (extorsão tripla): os criminosos cibernéticos também ameaçam um ataque DDoS (Distributed Denial of Service) sobre. Isso indica alguma experiência no campo, e é por isso que o ALPHV é indiscutivelmente um reagrupamento de invasores conhecidos, em vez de recém-chegados a esse 'negócio'. Isso também é indicado por postagens em fóruns de crimes cibernéticos, nos quais se supõe que ALPHV seja possivelmente um desenvolvimento adicional ou rebranding de BlackMatter, que por sua vez é um "spin-off" ou sucessor de REvil e DarkSide. Também digno de nota é a taxa de pagamento muito alta para os afiliados de até 90% do dinheiro do resgate recebido, com a qual novos parceiros são recrutados ativamente e encontrados em comunidades relevantes.
Parceiros afiliados devem obter até 90 por cento de resgate
Nos fóruns de crimes cibernéticos em russo, é feita uma busca direcionada por parceiros (Imagem: Varonis).
Ao trabalhar com esses novos parceiros, a primeira intrusão na rede da vítima geralmente é feita usando técnicas comprovadas, como explorar vulnerabilidades comuns em dispositivos de infraestrutura de rede, como gateways VPN e abuso de credenciais por meio de hosts RDP (Remote Desktop Protocol) desprotegidos. Depois disso, os invasores do ALPHV costumam usar o PowerShell para alterar as configurações de segurança do Windows Defender na rede da vítima e iniciar o ransomware em vários hosts usando o PsExec.
Uma vez acedidos os sistemas das vítimas, como no Oiltanking, inicia-se a fase de reconhecimento, identificando dados sensíveis e valiosos para exfiltração e posterior encriptação, bem como movimentação lateral na rede. O ransomware é criado novamente para cada vítima e inclui, por exemplo, o tipo de criptografia (por exemplo, apenas partes de arquivos grandes são criptografados) e as credenciais incorporadas da vítima para permitir que o ransomware se espalhe automaticamente para outros servidores.
ALPHV – BlackCat funciona em Windows e Linux
Ao contrário de muitos outros programas de ransomware, o ALPHV foi desenvolvido em Rust. Essa linguagem de programação é caracterizada por funções de alto desempenho e multiplataforma. Assim, as variantes do Linux e do Windows já foram identificadas.
Mais informações sobre ALPHV (BlackCat / Oiltanking), como informações detalhadas sobre configurações, processos e indicadores de comprometimento, podem ser encontradas na postagem do blog Varonis correspondente.
Mais em Varonis.com
Sobre Varonis Desde a sua fundação em 2005, a Varonis adotou uma abordagem diferente para a maioria dos fornecedores de segurança de TI, colocando os dados corporativos armazenados no local e na nuvem no centro de sua estratégia de segurança: arquivos e e-mails confidenciais, clientes confidenciais, informações de pacientes e pacientes Registros de funcionários, registros financeiros, planos estratégicos e de produtos e outras propriedades intelectuais. A Varonis Data Security Platform (DSP) detecta ameaças internas e ataques cibernéticos analisando dados, atividade de conta, telemetria e comportamento do usuário, evita ou atenua violações de segurança de dados bloqueando dados confidenciais, regulamentados e obsoletos e mantém um estado seguro dos sistemas através de uma automação eficiente.,