Sophos X-Ops apresenta os mais recentes resultados de inteligência de ameaças. A gangue de ransomware BlackCat usa a ferramenta de pentesting Brute Ratel como uma nova ferramenta de ataque. A série de ataques mostra como os cibercriminosos infectam computadores em todo o mundo por meio de firewalls sem patches e serviços VPN.
A Sophos X-Ops revela no novo relatório BlackCat Ransomware Attacks Not Merely a Byproduct of Bad Luck que a gangue de ransomware adicionou a ferramenta de pentesting Brute Ratel ao seu arsenal de ferramentas de ataque. O artigo descreve uma série de ataques de ransomware nos quais a BlackCat usou firewalls e serviços de VPN não atualizados ou desatualizados para penetrar em redes e sistemas vulneráveis em vários setores em todo o mundo.
BlackCat com ransomware como serviço
O ransomware BlackCat surgiu pela primeira vez em novembro de 2021 como um "líder" autodeclarado no espaço de ransomware como serviço e rapidamente atraiu a atenção por sua linguagem de programação Rust incomum. Já em dezembro de 2021, as empresas afetadas contataram o Sophos Rapid Response para investigar pelo menos cinco ataques com o BlackCat. Quatro desses incidentes foram inicialmente infectados pela exploração de vulnerabilidades em produtos de vários fornecedores de firewall. Uma dessas vulnerabilidades remonta a 2018, outra foi descoberta no ano passado. Uma vez dentro da rede, os cibercriminosos conseguiram obter as credenciais de VPN armazenadas nesses firewalls. Isso permitiu que eles fizessem login como usuários autorizados e, em seguida, esgueirassem-se pelos sistemas usando o Remote Desktop Protocol (RDP).
Como nos incidentes anteriores do BlackCat, os invasores também usaram ferramentas de código aberto e comercialmente disponíveis para criar backdoors adicionais e formas alternativas de acessar remotamente os sistemas visados. Estes incluíram TeamViewer, nGrok, Cobalt Strike e Brute Ratel.
Estrutura C2 pós-exploração Brute Ratel
“Nos recentes ataques BlackCat e outros, vimos os agentes de ameaças trabalharem com muita eficiência e eficácia. Eles usam práticas recomendadas, como ataques a firewalls e VPNs vulneráveis. Mas eles também foram muito inovadores ao evitar as medidas de segurança e mudaram seus ataques para a mais nova estrutura C2 pós-exploração Brute Ratel”, explica Christopher Budd, gerente sênior de pesquisa de ameaças da Sophos.
Ataques sem um padrão claro
No entanto, nenhum padrão claro pôde ser observado nos ataques. Eles aconteceram nos Estados Unidos, Europa e Ásia em grandes empresas que atuam em diversos segmentos da indústria. No entanto, as empresas atacadas tinham certas vulnerabilidades em seu ambiente que facilitavam o trabalho dos invasores. Isso incluía sistemas desatualizados que não podiam mais ser atualizados com os patches de segurança mais recentes, falta de autenticação multifator para VPNs e redes planas (rede de nós pares)
"O denominador comum de todos esses ataques é que eles foram fáceis de executar", disse Budd. “Em uma instância, os mesmos invasores do BlackCat instalaram criptomineradores um mês antes do lançamento do ransomware. Nossa pesquisa recente destaca a importância de seguir as práticas recomendadas de segurança. Você ainda pode prevenir e frustrar ataques, até mesmo ataques múltiplos em uma única rede.”
Mais em Sophos.com
Sobre a Sophos A Sophos tem a confiança de mais de 100 milhões de usuários em 150 países. Oferecemos a melhor proteção contra ameaças complexas de TI e perda de dados. Nossas soluções de segurança abrangentes são fáceis de implantar, usar e gerenciar. Eles oferecem o menor custo total de propriedade do setor. A Sophos oferece soluções de criptografia premiadas, soluções de segurança para endpoints, redes, dispositivos móveis, e-mail e web. Também há suporte da SophosLabs, nossa rede global de centros de análise proprietários. A sede da Sophos fica em Boston, EUA e Oxford, Reino Unido.