BlackCat, também conhecido como ALPHV, é um Ransomware as a Service – RaaS que vem ganhando notoriedade desde novembro de 2021, tem estado sob os holofotes e causado grandes prejuízos a várias empresas ao redor do mundo. Esse ransomware é escrito na linguagem Rust e pode infectar sistemas Linux e Windows.
O grupo destaca-se por ser eficaz no marketing para seus afiliados e por estes receberem uma parte generosa dos pagamentos de resgate, bem como por usar táticas de extorsão duplas e triplas, cobrando um resgate para descriptografar arquivos, ameaçando divulgá-los ou realizar ataques DDoS se o resgate não for pago.
MITRE ATT&CK
Algumas táticas do MITRE já foram mapeadas e identificaram as formas mais recorrentes de ataque por esse grupo. São elas:
| T1027.002 | Obfuscated Files or Information: Software Packing |
| T1027 | Obfuscated Files or Information |
| T1007 | System Service Discovery |
| T1040 | Network Sniffing |
| T1059 | Command and Scripting Interpreter |
| TA0010 | Exfiltration |
| T1082 | System Information Discovery |
| T1133 | External Remote Services |
| T1490 | Inhibit System Recovery |
| T1485 | Data Destruction |
| T1078 | Valid Accounts |
| T1586 | Compromise Accounts |
| T1486 | Data Encrypted For Impact |
| T1590 | Gather Victim Network Information |
| T1592 | Gather Victim Host Information |
| T1140 | Encode/Decode Files or Information |
| T1202 | Indirect Command Execution |
| T1543.003 | Create or Modify System Process: Windows Service |
| T1550.002 | Use Alternate Authentication Material: Pass the Hash |
IoCs
Além de hashes e URLs, também foram identificados comandos e processos utilizados pelo grupo que podem auxiliar na detecção dessa variante de ransomware. Embora sejam comandos e processos legítimos, são também considerados suspeitos:
Comandos executados no Linux/VMware ESXi:
- esxcli –formatter=csv –format-param=fields==”WorldID,DisplayName” vm process list | awk -F “\”*,\”*” ‘{system(“esxcli vm process kill –type=force –world-id=”$1)}’
- for i in `vim-cmd vmsvc/getallvms| awk ‘{print$1}’`;do vim-cmd vmsvc/snapshot.removeall $i & done
Comandos e processos no Windows:
- arp -a
- %SYSTEM32%\DllHost.exe /Processid:{3E5FC7F9-9A51-4367-9063-A120244FBEC7}
- for /F \”tokens=*\” %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl \”%1\””
- fsutil behavior set SymlinkEvaluation R2L:1
- fsutil behavior set SymlinkEvaluation R2R:1
- psexec.exe -accepteula \\<TARGET_HOST> -u <USERNAME> -p <PASSWORD> -s -d -f -c <ALPHV_EXECUTABLE> [FLAGS] [OPTIONS] –access-token <ACCESS_TOKEN> [SUBCOMMAND]
- reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /v MaxMpxCt /d 65535 /t REG_DWORD /f
- wmic csproduct get UUID
| URLs – Onion Websites |
| id7seexjn4bojn5rvo4lwcjgufjz7gkisaidckaux3uvjc7l7xrsiqad[.onion] sty5r4hhb5oihbq2mwevrofdiqbgesi66rvxr5sr573xgvtuvr4cs5yd[.onion] htnpafzbvddr2llstwbjouupddflqm7y7cr7tcchbeo6rmxpqoxcbqqd[.onion] aoczppoxmfqqthtwlwi4fmzlrv6aor3isn6ffaiic55wrfumxslx3vyd[.onion] alphvmmm27o3abo3r2mlmjrpdmzle3rykajqc5xsj7j7ejksbpsa36ad[.onion] 2cuqgeerjdba2rhdiviezodpu3lc4qz2sjf4qin6f7std2evleqlzjid[.onion] zujgzbu5y64xbmvc42addp4lxkoosb4tslf5mehnh7pvqjpwxn5gokyd[.onion] mu75ltv3lxd24dbyu6gtvmnwybecigs5auki7fces437xvvflzva2nqd[.onion] |
| HASHES |
| MD5 |
| b9acf6efedadae53cf015d0aa9f32653 701b4b004eecb69046c210237846d46d fe16fa500584cb241532dc7cb75c1f53 173c4085c23080d9fb19280cc507d28d 5178bd507c07bc2d5274e0947834e48e 9502d64e8f8c0f50127e2a7263596891 cf2264987cc01dc8d3f72027347a968b 07e71cd54f3ac00b2a34c7955e5c41a8 87f9dd02e0c6346e6d1ca3957a83709a 0646491738c76fd6a9eefaed43eabf43 |
| SHA1 |
| 087497940a41d96e4e907b6dc92f75f4a38d861a 11203786b17bb3873d46acae32a898c8dac09850 2a53525eeb7b76b3d1bfe40ac349446f2add8784 45212fa4501ede5af428563f8043c4ae40faec76 57a6dfd2b021e5a4d4fe34a61bf3242ecee841b3 5869820f261f76eafa1ba00af582a9225d005c89 5c6ca5581a04955d8e4d1fa452621fbc922ecb7b 655c2567650d2c109fab443de4b737294994f1fd 783b2b053ef0345710cd2487e5184f29116e367c 89060eff6db13e7455fee151205e972260e9522a 9146a448463935b47e29155da74c68d16e0d7031 94f025f3be089252692d58e54e3e926e09634e40 a186c08d3d10885ebb129b1a0d8ea0da056fc362 c1187fe0eaddee995773d6c66bcb558536e9b62c ce5540c0d2c54489737f3fefdbf72c889ac533a9 d65a131fb2bd6d80d69fe7415dc1d1fd89290394 da1e4a09a59565c5d62887e0e9a9f6f04a18b5f4 e17dc8062742878b0b5ced2145311929f6f77abd e22436386688b5abe6780a462fd07cd12c3f3321 f466b4d686d1fa9fed064507639b9306b0d80bbf |
| SHA256 |
| 0c6f444c6940a3688ffc6f8b9d5774c032e3551ebbccb64e4280ae7fc1fac479 13828b390d5f58b002e808c2c4f02fdd920e236cc8015480fa33b6c1a9300e31 15b57c1b68cd6ce3c161042e0f3be9f32d78151fe95461eedc59a79fc222c7ed 1af1ca666e48afc933e2eda0ae1d6e88ebd23d27c54fd1d882161fd8c70b678e 28d7e6fe31dc00f82cb032ba29aad6429837ba5efb83c2ce4d31d565896e1169 2cf54942e8cf0ef6296deaa7975618dadff0c32535295d3f0d5f577552229ffc 38834b796ed025563774167716a477e9217d45e47def20facb027325f2a790d1 3d7cf20ca6476e14e0a026f9bdd8ff1f26995cdc5854c3adb41a6135ef11ba83 4e18f9293a6a72d5d42dad179b532407f45663098f959ea552ae43dbb9725cbf 59868f4b346bd401e067380cac69080709c86e06fae219bfb5bc17605a71ab3f 731adcf2d7fb61a8335e23dbee2436249e5d5753977ec465754c6b699e9bf161 74464797c5d2df81db2e06f86497b2127fda6766956f1b67b0dcea9570d8b683 7b2449bb8be1b37a9d580c2592a67a759a3116fe640041d0f36dc93ca3db4487 7e363b5f1ba373782261713fa99e8bbc35ddda97e48799c4eb28f17989da8d8e bd337d4e83ab1c2cacb43e4569f977d188f1bb7c7a077026304bf186d49d4117 c3e5d4e62ae4eca2bfca22f8f3c8cbec12757f78107e91e85404611548e06e40 c8b3b67ea4d7625f8b37ba59eed5c9406b3ef04b7a19b97e5dd5dab1bd59f283 cefea76dfdbb48cfe1a3db2c8df34e898e29bec9b2c13e79ef40655c637833ae f815f5d6c85bcbc1ec071dd39532a20f5ce910989552d980d1d4346f57b75f89 f8c08d00ff6e8c6adb1a93cd133b19302d0b651afd73ccb54e3b6ac6c60d99c6 |
Conclusão
Estar preparado para enfrentar os desafios que são os variados tipos de ameaças cibernéticas é estar um passo à frente. Entender como alguns grupos atuam é uma forma de mapear e analisar os pontos de melhoria a serem trabalhados nas infraestruturas de cada empresa.
As recomendações a seguir são fundamentais nesse processo de proteção e são sugeridas como ponto de partida para uma infraestrutura mais segura.
Recomendações
1. Mantenha backups de dados criptografados e offline e teste-os com frequência.
Os procedimentos de backup devem ser realizados regularmente. É importante que eles sejam mantidos offline, pois muitas variantes de ransomware tentam localizar e excluir ou criptografar backups acessíveis.
2. Crie, mantenha e execute um plano básico de resposta a incidentes cibernéticos, um plano de recuperação e um plano de comunicações associado.
- O plano de resposta a incidentes cibernéticos deve incluir procedimentos de resposta e notificação para incidentes de ransomware. Recomendamos o CISA and Multi-State Information and Sharing Center (MS-ISAC) Joint Ransomware Guide para obter mais detalhes sobre a criação de um plano de resposta a incidentes cibernéticos.
- O plano de recuperação deve abordar como operar se você perder o acesso ou o controle de funções críticas. A CISA oferece avaliações de resiliência cibernética sem custo e não técnicas para ajudar as organizações a avaliar sua resiliência operacional e práticas de segurança cibernética.
3. Mitigar vulnerabilidades e configurações incorretas de serviços voltados para a Internet para reduzir o risco de atores que exploram essa superfície de ataque:
a. Empregue as melhores práticas para o uso de Remote Desktop Protocol (RDP) e outros serviços de área de trabalho remota. Os atores da ameaça geralmente obtêm acesso inicial a uma rede por meio de serviços remotos expostos e mal protegidos e, posteriormente, propagam o ransomware.
Audite a rede para sistemas usando RDP, portas RDP fechadas não usadas, aplique bloqueios de conta após um número especificado de tentativas, aplique autenticação multifator (MFA) e registre tentativas de login RDP.
b. Realize varreduras de vulnerabilidades regulares para identificar e resolver vulnerabilidades, especialmente aquelas em dispositivos voltados para a Internet. A CISA oferece uma variedade de serviços de higiene cibernética gratuitos, incluindo varredura de vulnerabilidade, para ajudar as organizações de infraestrutura crítica a avaliar, identificar e reduzir sua exposição a ameaças cibernéticas, como ransomware. Tirando proveito desses serviços, as organizações de qualquer porte receberão recomendações sobre maneiras de reduzir seus riscos e mitigar vetores de ataque.
c. Atualize o software, incluindo sistemas operacionais, aplicativos e firmware, em tempo hábil. Priorize a correção oportuna de vulnerabilidades críticas e vulnerabilidades em servidores voltados para a Internet – bem como software de processamento de dados da Internet, navegadores da web, plug-ins de navegador e leitores de documentos. Se a correção rápida não for viável, implemente as atenuações disponibilizadas pelo fornecedor.
d. Certifique-se de que os dispositivos estejam configurados corretamente e os recursos de segurança ativados; por exemplo, desativar portas e protocolos que não estão sendo usados para uma finalidade comercial.
e. Desative ou bloqueie o protocolo SMB (Server Message Block) de entrada e saída e remova ou desative as versões desatualizadas do SMB.
4. Reduza o risco de e-mails de phishing chegarem aos usuários finais:
a. Habilitando filtros de spam.
b. Implementando um programa de conscientização e treinamento do usuário de segurança cibernética que inclua orientação sobre como identificar e relatar atividades suspeitas (por exemplo, phishing) ou incidentes.
5. Utilize as melhores práticas disponíveis de segurança cibernética:
a. Garanta que todos os softwares antivírus, antimalwares e assinaturas estejam atualizados.
b. Implemente a lista de permissões de aplicativos (application allowlisting).
c. Garanta que as contas de usuários e privilégios sejam limitadas por meio de políticas de uso de contas, controle de contas de usuários e gerenciamento de contas com privilégios.
d. Empregue MFA para todos os serviços que forem possíveis, especialmente para webmail, redes privadas virtuais (VPNs) e contas que acessam sistemas críticos.
Referências
- Mitre Att&ck
- The Record
- Cisco Talos
- Polyswarm
- Varonis