BlackCat evolui e ferramenta de exfiltração de dados é atualizada

ransomware-blackcat-arrecadou-r-146-bilhoes-de-mais-de-mil-usuarios

O ransomware BlackCat não está mostrando sinais de desaceleração. Um exemplo claro disso, é que o BlackCat tem evoluído e uma nova versão da ferramenta de exfiltração de dados atualizada vem sendo utilizada pela gangue usada para ataques de extorsão dupla.

Evolução do BlackCat atualiza ferramenta de exfiltração de dados

O BlackCat é considerado um sucessor do Darkside e do BlackMatter e é uma das operações de Ransomware como serviço (RaaS) mais sofisticadas e tecnicamente avançadas. Inclusive, pesquisadores de segurança da Symantec, que rastreiam o BlackCat como “Noberus”, relatam que o desenvolvedor do primeiro ransomware baseado em Rust melhora e enriquece continuamente o malware com novos recursos.

A evolução do BlackCat agora se concentra na ferramenta usada para exfiltrar dados de sistemas comprometidos, um requisito essencial para a realização de ataques de dupla extorsão. Denominada “Exmatter”, a ferramenta foi usada desde o lançamento do BlackCat em novembro de 2021 e foi fortemente atualizada em agosto de 2022.

Alterações na ferramenta Exmatter desde o lançamento do BlackCat

  • Limite os tipos de arquivos a serem exfiltrados para: PDF, DOC, DOCX, XLS, PNG, JPG, JPEG, TXT, BMP, RDP, SQL, MSG, PST, ZIP, RTF, IPT e DWG.
  • Adicionado FTP como uma opção de exfiltração além de SFTP e WebDav.
  • Oferta de opção para construir um relatório listando todos os arquivos processados.
  • Adicionado o recurso “Eraser” dando a opção de corromper os arquivos processados.
  • Adicionada a opção de configuração “Auto-destruição” para sair e se excluir se executado em ambientes inválidos.
  • Removido o suporte para Socks5;
  • Adicionada opção para implantação de GPO.
blackcat-evolui-e-ferramenta-de-exfiltracao-de-dados-e-atualizada

Além dos recursos expandidos, a versão mais recente do Exmatter passou por uma pesada refatoração de código, implementando os recursos existentes de forma mais furtiva para evitar a detecção, aponta o Bleeping Computer.

Outra adição recente à capacidade de roubo de informações do BlackCat é a implantação de um novo malware chamado “Eamfo”, que visa explicitamente as credenciais armazenadas nos backups da Veeam. Esse software é normalmente usado para armazenar credenciais para controladores de domínio e serviços em nuvem para que os agentes do ransomware possam usá-los para infiltrações mais profundas e movimentos laterais.

O Eamfo se conecta ao banco de dados SQL da Veeam e rouba as credenciais de backup. Depois que as credenciais são extraídas, o Eamfo as descriptografa e as exibe para o agente da ameaça.

Os pesquisadores observam que o malware de roubo de informações foi usado por outras gangues de ransomware no passado, incluindo Monti, Yanluowang e LockBit. Finalmente, a Symantec notou que a operação BlackCat foi vista usando um utilitário anti-rootkit mais antigo chamado para encerrar processos antivírus.

Acesse a versão completa
Sair da versão mobile