O malware bancário conhecido como Carbanak foi usado em ataques de ransomware com táticas atualizadas. A atualização das táticas de ataques pode levar o malware a fazer muitas vítimas nessas campanhas de ataque.
Ransonware Carbanak
De acordo com a empresa de segurança cibernética NCC Group em uma análise de ataques de ransomware ocorridos em novembro de 2023, O malware se adaptou para incorporar fornecedores e técnicas de ataque para diversificar sua eficácia.
Carbanak retornou no mês passado através de novas cadeias de distribuição e foi distribuído através de sites comprometidos para se passar por vários softwares relacionados a negócios.
Algumas das ferramentas personificadas incluem softwares populares relacionados a negócios, como HubSpot, Veeam e Xero. Carbanak, detectado na natureza desde pelo menos 2014, é conhecido por seus recursos de exfiltração de dados e controle remoto. Começando como um malware bancário, ele foi utilizado pelo sindicato do crime cibernético FIN7.
Na última cadeia de ataques documentada pelo Grupo NCC, os sites comprometidos são projetados para hospedar arquivos de instalação maliciosos disfarçados de utilitários legítimos para acionar a implantação do Carbanak.
Os novos ataques
O desenvolvimento ocorre no momento em que 442 ataques de ransomware foram relatados no mês passado, contra 341 incidentes em outubro de 2023. Um total de 4.276 casos foram relatados até agora neste ano, o que é “menos de 1.000 incidentes a menos do que o total de 2021 e 2022 combinados ( 5.198)”.
Os dados da empresa mostram que a indústria (33%), o consumo cíclico (18%) e a saúde (11%) emergiram como os setores mais visados, com a América do Norte (50%), a Europa (30%) e a Ásia (10%) responsáveis pela maioria dos ataques.
Famílias de ransomware
Quanto às famílias de ransomware mais comumente detectadas, LockBit, BlackCat e Play contribuíram para 47% (ou 206 ataques) de 442 ataques. Com o BlackCat desmantelado pelas autoridades este mês, resta saber qual o impacto que a medida terá no cenário de ameaças no futuro próximo.
O aumento nos ataques de ransomware em novembro também foi corroborado pela seguradora cibernética Corvus, que afirmou ter identificado 484 novas vítimas de ransomware postadas em sites de vazamento.
A empresa russa de segurança cibernética destacou ainda a exploração, pelos operadores de ransomware, de diferentes falhas de segurança no driver do Windows Common Log File System (CLFS) – CVE-2022-24521, CVE-2022-37969, CVE-2023-23376, CVE-2023-28252 ( Pontuações CVSS: 7,8) – para escalonamento de privilégios.
É preciso ficar de olho nesses ataques de ransomware, sobretudo nas novas táticas dos malwares.
