Malwares

BlackCat evolui e ferramenta de exfiltração de dados é atualizada

O ransomware não desacelera e se sofistica mais a cada dia

Jardeson Márcio
ransomware-blackcat-arrecadou-r-146-bilhoes-de-mais-de-mil-usuarios

O ransomware BlackCat não está mostrando sinais de desaceleração. Um exemplo claro disso, é que o BlackCat tem evoluído e uma nova versão da ferramenta de exfiltração de dados atualizada vem sendo utilizada pela gangue usada para ataques de extorsão dupla.

Tabela de conteúdo
Evolução do BlackCat atualiza ferramenta de exfiltração de dadosAlterações na ferramenta Exmatter desde o lançamento do BlackCat

Evolução do BlackCat atualiza ferramenta de exfiltração de dados

O BlackCat é considerado um sucessor do Darkside e do BlackMatter e é uma das operações de Ransomware como serviço (RaaS) mais sofisticadas e tecnicamente avançadas. Inclusive, pesquisadores de segurança da Symantec, que rastreiam o BlackCat como “Noberus”, relatam que o desenvolvedor do primeiro ransomware baseado em Rust melhora e enriquece continuamente o malware com novos recursos.

A evolução do BlackCat agora se concentra na ferramenta usada para exfiltrar dados de sistemas comprometidos, um requisito essencial para a realização de ataques de dupla extorsão. Denominada “Exmatter”, a ferramenta foi usada desde o lançamento do BlackCat em novembro de 2021 e foi fortemente atualizada em agosto de 2022.

Alterações na ferramenta Exmatter desde o lançamento do BlackCat

  • Limite os tipos de arquivos a serem exfiltrados para: PDF, DOC, DOCX, XLS, PNG, JPG, JPEG, TXT, BMP, RDP, SQL, MSG, PST, ZIP, RTF, IPT e DWG.
  • Adicionado FTP como uma opção de exfiltração além de SFTP e WebDav.
  • Oferta de opção para construir um relatório listando todos os arquivos processados.
  • Adicionado o recurso “Eraser” dando a opção de corromper os arquivos processados.
  • Adicionada a opção de configuração “Auto-destruição” para sair e se excluir se executado em ambientes inválidos.
  • Removido o suporte para Socks5;
  • Adicionada opção para implantação de GPO.

Além dos recursos expandidos, a versão mais recente do Exmatter passou por uma pesada refatoração de código, implementando os recursos existentes de forma mais furtiva para evitar a detecção, aponta o Bleeping Computer.

Outra adição recente à capacidade de roubo de informações do BlackCat é a implantação de um novo malware chamado “Eamfo”, que visa explicitamente as credenciais armazenadas nos backups da Veeam. Esse software é normalmente usado para armazenar credenciais para controladores de domínio e serviços em nuvem para que os agentes do ransomware possam usá-los para infiltrações mais profundas e movimentos laterais.

O Eamfo se conecta ao banco de dados SQL da Veeam e rouba as credenciais de backup. Depois que as credenciais são extraídas, o Eamfo as descriptografa e as exibe para o agente da ameaça.

Os pesquisadores observam que o malware de roubo de informações foi usado por outras gangues de ransomware no passado, incluindo Monti, Yanluowang e LockBit. Finalmente, a Symantec notou que a operação BlackCat foi vista usando um utilitário anti-rootkit mais antigo chamado para encerrar processos antivírus.

TAGGED:
VIA:Bleeping Computer
Share This Article
Por Jardeson Márcio
Follow:
Jardeson é Mestre em Tecnologia Agroalimentar e Licenciado em Ciências Agrária pela Universidade Federal da Paraíba. Entusiasta no mundo tecnológico, gosta de arquitetura e design gráfico. Economia, tecnologia e atualidade são focos de suas leituras diárias. Acredita que seu dia pode ser salvo por um vídeo engraçado.
Sair da versão mobile