Novo grupo de ransomware BlackCat mira o Brasil
Novo grupo de ransomware BlackCat se foca no Brasil, já considerado o segundo país mais atacado, conforme registra o novo relatório da Kaspersky, empresa internacional de cibersegurança e privacidade digital. A complexidade do malware usado e a vasta experiência dos agentes que estão por trás dele tornam o BlackCat um dos principais grupos de cibercriminosos que adentraram na América Latina.
O grupo de ransomware BlackCat é um agente de ameaças que opera desde dezembro de 2021. Diferentemente de muitos agentes de ransomware, o malware do BlackCat é escrito na linguagem de programação Rust, conseguindo atingir sistemas Windows e Linux. Em outras palavras, o BlackCat introduziu avanços progressivos e uma mudança nas tecnologias usadas para vencer os desafios do desenvolvimento de ransomware.
O BlackCat diz ser sucessor de grupos de ransomware conhecidos, como BlackMatter e REvil. A telemetria da Kaspersky sugere que pelo menos alguns membros do novo grupo têm ligações diretas com o BlackMatter, pois usam ferramentas e técnicas que já foram amplamente usadas pelo grupo.
Nos últimos 12 meses de atuações desses grupos, a Kaspersky identificou atividades do REvil em alguns países da América Latina, principalmente no Brasil, Colômbia e México. Esse destaque também se dá ao BlackMatter, que registrou detecções no Brasil e na República Dominicana; por esse motivo, os ataques do BlackCat mostram-se sendo expandidos por toda região.
No relatório, os pesquisadores da empresa esclareceram dois incidentes cibernéticos. Um deles demonstra o risco que recursos de hospedagem compartilhada na nuvem representam, e o outro exibe uma abordagem ágil de reutilização de malware personalizado entre as atividades do BlackMatter e do BlackCat.
O primeiro caso examina um ataque contra um provedor de ERP (planejamento de recursos empresariais) vulnerável no Oriente Médio que hospeda vários sites. Os pesquisadores da Kaspersky concluíram que o agente explora o risco de ativos compartilhados entre recursos de nuvem.
O segundo caso envolve uma empresa de petróleo, gás, mineração e construção na América do Sul, e revela a conexão entre as atividades de ransomware do BlackCat e do BlackMatter. Antes de tentar entregar o ransomware BlackCat dentro da rede visada, o associado por trás desse ataque (que parece ser diferente daquele no caso anterior) também instalou um utilitário de exfiltração personalizado modificado que chamamos “Fendr”. Esse utilitário, também conhecido como ExMatter, já foi usado exclusivamente como parte da atividade de ransomware do BlackMatter.
(Com assessoria)