BlackCat Ransomware: o ataque que tem preocupado empresas do mundo inteiro

BlackCat, também conhecido como ALPHV, é um Ransomware as a ServiceRaaS que vem ganhando notoriedade desde novembro de 2021, tem estado sob os holofotes e causado grandes prejuízos a várias empresas ao redor do mundo. Esse ransomware é escrito na linguagem Rust e pode infectar sistemas Linux e Windows. 

O grupo destaca-se por ser eficaz no marketing para seus afiliados e por estes receberem uma parte generosa dos pagamentos de resgate, bem como por usar táticas de extorsão duplas e triplas, cobrando um resgate para descriptografar arquivos, ameaçando divulgá-los ou realizar ataques DDoS se o resgate não for pago.

MITRE ATT&CK

Algumas táticas do MITRE já foram mapeadas e identificaram as formas mais recorrentes de ataque por esse grupo. São elas: 

T1027.002 Obfuscated Files or Information: Software Packing 
T1027 Obfuscated Files or Information 
T1007 System Service Discovery 
T1040 Network Sniffing 
T1059 Command and Scripting Interpreter 
TA0010 Exfiltration 
T1082 System Information Discovery 
T1133 External Remote Services 
T1490 Inhibit System Recovery 
T1485 Data Destruction 
T1078 Valid Accounts 
T1586 Compromise Accounts 
T1486 Data Encrypted For Impact 
T1590 Gather Victim Network Information 
T1592 Gather Victim Host Information 
T1140 Encode/Decode Files or Information 
T1202 Indirect Command Execution 
T1543.003 Create or Modify System Process: Windows Service 
T1550.002 Use Alternate Authentication Material: Pass the Hash 

IoCs

Além de hashes e URLs, também foram identificados comandos e processos utilizados pelo grupo que podem auxiliar na detecção dessa variante de ransomware. Embora sejam comandos e processos legítimos, são também considerados suspeitos: 

Comandos executados no Linux/VMware ESXi:

  • esxcli –formatter=csv –format-param=fields==”WorldID,DisplayName” vm process list | awk -F “\”*,\”*” ‘{system(“esxcli vm process kill –type=force –world-id=”$1)}’ 
  • for i in `vim-cmd vmsvc/getallvms| awk ‘{print$1}’`;do vim-cmd vmsvc/snapshot.removeall $i & done 

Comandos e processos no Windows:

  • arp -a  
  • %SYSTEM32%\DllHost.exe /Processid:{3E5FC7F9-9A51-4367-9063-A120244FBEC7}  
  • for /F \”tokens=*\” %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl \”%1\””  
  • fsutil behavior set SymlinkEvaluation R2L:1  
  • fsutil behavior set SymlinkEvaluation R2R:1 
  • psexec.exe -accepteula \\<TARGET_HOST> -u <USERNAME> -p <PASSWORD> -s -d -f -c <ALPHV_EXECUTABLE> [FLAGS] [OPTIONS] –access-token <ACCESS_TOKEN> [SUBCOMMAND]
  • reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /v MaxMpxCt /d 65535 /t REG_DWORD /f  
  • wmic csproduct get UUID 

URLs – Onion Websites 
id7seexjn4bojn5rvo4lwcjgufjz7gkisaidckaux3uvjc7l7xrsiqad[.onion] 
sty5r4hhb5oihbq2mwevrofdiqbgesi66rvxr5sr573xgvtuvr4cs5yd[.onion] 
htnpafzbvddr2llstwbjouupddflqm7y7cr7tcchbeo6rmxpqoxcbqqd[.onion] 
aoczppoxmfqqthtwlwi4fmzlrv6aor3isn6ffaiic55wrfumxslx3vyd[.onion]  
alphvmmm27o3abo3r2mlmjrpdmzle3rykajqc5xsj7j7ejksbpsa36ad[.onion] 
2cuqgeerjdba2rhdiviezodpu3lc4qz2sjf4qin6f7std2evleqlzjid[.onion] 
zujgzbu5y64xbmvc42addp4lxkoosb4tslf5mehnh7pvqjpwxn5gokyd[.onion] 
mu75ltv3lxd24dbyu6gtvmnwybecigs5auki7fces437xvvflzva2nqd[.onion] 
HASHES 
MD5 
b9acf6efedadae53cf015d0aa9f32653
701b4b004eecb69046c210237846d46d 
fe16fa500584cb241532dc7cb75c1f53 
173c4085c23080d9fb19280cc507d28d
 5178bd507c07bc2d5274e0947834e48e
9502d64e8f8c0f50127e2a7263596891
cf2264987cc01dc8d3f72027347a968b 
07e71cd54f3ac00b2a34c7955e5c41a8 
87f9dd02e0c6346e6d1ca3957a83709a 
0646491738c76fd6a9eefaed43eabf43 
SHA1 
087497940a41d96e4e907b6dc92f75f4a38d861a
11203786b17bb3873d46acae32a898c8dac09850 
2a53525eeb7b76b3d1bfe40ac349446f2add8784 
45212fa4501ede5af428563f8043c4ae40faec76 
57a6dfd2b021e5a4d4fe34a61bf3242ecee841b3 
5869820f261f76eafa1ba00af582a9225d005c89 
5c6ca5581a04955d8e4d1fa452621fbc922ecb7b 
655c2567650d2c109fab443de4b737294994f1fd 
783b2b053ef0345710cd2487e5184f29116e367c 
89060eff6db13e7455fee151205e972260e9522a 
9146a448463935b47e29155da74c68d16e0d7031 
94f025f3be089252692d58e54e3e926e09634e40 
a186c08d3d10885ebb129b1a0d8ea0da056fc362 
c1187fe0eaddee995773d6c66bcb558536e9b62c 
ce5540c0d2c54489737f3fefdbf72c889ac533a9 
d65a131fb2bd6d80d69fe7415dc1d1fd89290394 
da1e4a09a59565c5d62887e0e9a9f6f04a18b5f4 
e17dc8062742878b0b5ced2145311929f6f77abd 
e22436386688b5abe6780a462fd07cd12c3f3321 
f466b4d686d1fa9fed064507639b9306b0d80bbf 
SHA256 
0c6f444c6940a3688ffc6f8b9d5774c032e3551ebbccb64e4280ae7fc1fac479 
13828b390d5f58b002e808c2c4f02fdd920e236cc8015480fa33b6c1a9300e31 
15b57c1b68cd6ce3c161042e0f3be9f32d78151fe95461eedc59a79fc222c7ed 
1af1ca666e48afc933e2eda0ae1d6e88ebd23d27c54fd1d882161fd8c70b678e 
28d7e6fe31dc00f82cb032ba29aad6429837ba5efb83c2ce4d31d565896e1169 
2cf54942e8cf0ef6296deaa7975618dadff0c32535295d3f0d5f577552229ffc 
38834b796ed025563774167716a477e9217d45e47def20facb027325f2a790d1 
3d7cf20ca6476e14e0a026f9bdd8ff1f26995cdc5854c3adb41a6135ef11ba83 
4e18f9293a6a72d5d42dad179b532407f45663098f959ea552ae43dbb9725cbf 
59868f4b346bd401e067380cac69080709c86e06fae219bfb5bc17605a71ab3f 
731adcf2d7fb61a8335e23dbee2436249e5d5753977ec465754c6b699e9bf161 
74464797c5d2df81db2e06f86497b2127fda6766956f1b67b0dcea9570d8b683 
7b2449bb8be1b37a9d580c2592a67a759a3116fe640041d0f36dc93ca3db4487 
7e363b5f1ba373782261713fa99e8bbc35ddda97e48799c4eb28f17989da8d8e 
bd337d4e83ab1c2cacb43e4569f977d188f1bb7c7a077026304bf186d49d4117 
c3e5d4e62ae4eca2bfca22f8f3c8cbec12757f78107e91e85404611548e06e40 
c8b3b67ea4d7625f8b37ba59eed5c9406b3ef04b7a19b97e5dd5dab1bd59f283 
cefea76dfdbb48cfe1a3db2c8df34e898e29bec9b2c13e79ef40655c637833ae 
f815f5d6c85bcbc1ec071dd39532a20f5ce910989552d980d1d4346f57b75f89 
f8c08d00ff6e8c6adb1a93cd133b19302d0b651afd73ccb54e3b6ac6c60d99c6 

Conclusão

Estar preparado para enfrentar os desafios que são os variados tipos de ameaças cibernéticas é estar um passo à frente. Entender como alguns grupos atuam é uma forma de mapear e analisar os pontos de melhoria a serem trabalhados nas infraestruturas de cada empresa.  

As recomendações a seguir são fundamentais nesse processo de proteção e são sugeridas como ponto de partida para uma infraestrutura mais segura. 

Recomendações

1. Mantenha backups de dados criptografados e offline e teste-os com frequência.

Os procedimentos de backup devem ser realizados regularmente. É importante que eles sejam mantidos offline, pois muitas variantes de ransomware tentam localizar e excluir ou criptografar backups acessíveis. 

2. Crie, mantenha e execute um plano básico de resposta a incidentes cibernéticos, um plano de recuperação e um plano de comunicações associado. 

  • O plano de resposta a incidentes cibernéticos deve incluir procedimentos de resposta e notificação para incidentes de ransomware. Recomendamos o CISA and Multi-State Information and Sharing Center (MS-ISAC) Joint Ransomware Guide para obter mais detalhes sobre a criação de um plano de resposta a incidentes cibernéticos. 
  • O plano de recuperação deve abordar como operar se você perder o acesso ou o controle de funções críticas. A CISA oferece avaliações de resiliência cibernética sem custo e não técnicas para ajudar as organizações a avaliar sua resiliência operacional e práticas de segurança cibernética. 

3. Mitigar vulnerabilidades e configurações incorretas de serviços voltados para a Internet para reduzir o risco de atores que exploram essa superfície de ataque: 

a. Empregue as melhores práticas para o uso de Remote Desktop Protocol (RDP) e outros serviços de área de trabalho remota. Os atores da ameaça geralmente obtêm acesso inicial a uma rede por meio de serviços remotos expostos e mal protegidos e, posteriormente, propagam o ransomware

Audite a rede para sistemas usando RDP, portas RDP fechadas não usadas, aplique bloqueios de conta após um número especificado de tentativas, aplique autenticação multifator (MFA) e registre tentativas de login RDP. 

 b. Realize varreduras de vulnerabilidades regulares para identificar e resolver vulnerabilidades, especialmente aquelas em dispositivos voltados para a Internet. A CISA oferece uma variedade de serviços de higiene cibernética gratuitos, incluindo varredura de vulnerabilidade, para ajudar as organizações de infraestrutura crítica a avaliar, identificar e reduzir sua exposição a ameaças cibernéticas, como ransomware. Tirando proveito desses serviços, as organizações de qualquer porte receberão recomendações sobre maneiras de reduzir seus riscos e mitigar vetores de ataque. 

c. Atualize o software, incluindo sistemas operacionais, aplicativos e firmware, em tempo hábil. Priorize a correção oportuna de vulnerabilidades críticas e vulnerabilidades em servidores voltados para a Internet – bem como software de processamento de dados da Internet, navegadores da web, plug-ins de navegador e leitores de documentos. Se a correção rápida não for viável, implemente as atenuações disponibilizadas pelo fornecedor. 

d. Certifique-se de que os dispositivos estejam configurados corretamente e os recursos de segurança ativados; por exemplo, desativar portas e protocolos que não estão sendo usados ​​para uma finalidade comercial. 

e. Desative ou bloqueie o protocolo SMB (Server Message Block) de entrada e saída e remova ou desative as versões desatualizadas do SMB. 

4. Reduza o risco de e-mails de phishing chegarem aos usuários finais: 

a. Habilitando filtros de spam

b. Implementando um programa de conscientização e treinamento do usuário de segurança cibernética que inclua orientação sobre como identificar e relatar atividades suspeitas (por exemplo, phishing) ou incidentes.  

5. Utilize as melhores práticas disponíveis de segurança cibernética: 

a. Garanta que todos os softwares antivírus, antimalwares e assinaturas estejam atualizados. 

b. Implemente a lista de permissões de aplicativos (application allowlisting). 

c. Garanta que as contas de usuários e privilégios sejam limitadas por meio de políticas de uso de contas, controle de contas de usuários e gerenciamento de contas com privilégios. 

d. Empregue MFA para todos os serviços que forem possíveis, especialmente para webmail, redes privadas virtuais (VPNs) e contas que acessam sistemas críticos. 

Referências

  1. Mitre Att&ck 
  2. The Record 
  3. Cisco Talos 
  4. Polyswarm 
  5. Varonis