Dezenas de entidades em todo o mundo foram violadas pelo ransomware BlackCat

Impacto do BlackCat: empresas no Brasil representam 1,88% das vítimas globais

Um relatório do Federal Bureau of Investigation (FBI) dos EUA aponta que pelo menos 60 entidades em todo o mundo foram violadas pelo BlackCat ransomware desde que iniciou suas operações em novembro.

O BlackCat/ALPHV é um Ransomware que foi descoberto pela primeira vez em dezembro por pesquisadores de malware da Recorded Future e MalwareHunterTeam. Ele é a primeira variedade de ransomware profissional que foi escrita na linguagem de programação Rust.

O BlackCat pode ter como alvo os sistemas Windows, Linux e VMWare ESXi, mas neste momento o número de vítimas é limitado. Especialistas da Recorded Future especulam que o autor do ransomware BlackCat, conhecido como ALPHV, esteve anteriormente envolvido com as operações do ransomware REvil.

dezenas-de-entidades-em-todo-o-mundo-foram-violadas-pelo-ransomware-blackcat

Ação do Ransomware BlackCat em violação a entidades do mundo inteiro

ALPHV tem anunciado o BlackCat Ransomware-as-a-Service (RaaS) nos fóruns de crimes cibernéticos XSS e Exploit desde o início de dezembro. Como outros grupos de ransomware, a gangue também implementa um modelo de dupla extorsão, ameaçando vazar os dados roubados se as vítimas não pagarem.

A ALPHV está tentando recrutar afiliados para suas operações, oferecendo-lhes entre 80% e 90% do resgate final, dependendo de seu valor. As operações BlackCat atingiram apenas um pequeno número de vítimas neste momento nos EUA, Austrália e Índia. As demandas de resgate variam de algumas centenas de milhares até US$ 3 milhões em Bitcoin ou Monero.

O alerta emitido pelo FBI inclui indicadores de comprometimento (IoCs) associados ao BlackCat/ALPHV, a partir de meados de fevereiro de 2022. O FBI está buscando qualquer informação que possa ser compartilhada relacionada às operações da operação de ransomware BlackCat.

Abaixo estão as mitigações recomendadas incluídas no alerta (Via: SecurityAffairs):

  • Revise controladores de domínio, servidores, estações de trabalho e diretórios ativos para contas de usuário novas ou não reconhecidas.
  • Faça backups regulares de dados, espaço aéreo e cópias de backup protegidas por senha offline. Certifique-se de que cópias de dados críticos não estejam acessíveis para modificação ou exclusão do sistema onde os dados residem.
  • Revise o Agendador de Tarefas para tarefas agendadas não reconhecidas. Além disso, revise manualmente as tarefas agendadas definidas ou reconhecidas pelo sistema operacional para “ações” não reconhecidas (por exemplo: revise as etapas que cada tarefa agendada deve executar).
  • Revise os logs de antivírus para obter indicações de que foram desativados inesperadamente.
  • Implementar segmentação de rede.
  • Exija credenciais de administrador para instalar o software.
  • Implemente um plano de recuperação para manter e reter várias cópias de dados e servidores confidenciais ou proprietários em um local seguro, segmentado e fisicamente separado (por exemplo, disco rígido, dispositivo de armazenamento, nuvem).
  • Instale atualizações/patches de sistemas operacionais, software e firmware assim que as atualizações/patches forem lançadas.
  • Use a autenticação multifator sempre que possível.
  • Altere regularmente as senhas para sistemas e contas de rede e evite reutilizar senhas para contas diferentes.
  • Implemente o menor prazo aceitável para alterações de senha.
  • Desative as portas de acesso remoto/Remote Desktop Protocol (RDP) não utilizadas e monitore os logs de acesso remoto/RDP.
  • Audite contas de usuários com privilégios administrativos e configure controles de acesso com o mínimo de privilégios em mente.
  • Instale e atualize regularmente o software antivírus e antimalware em todos os hosts.
  • Use apenas redes seguras e evite usar redes Wi-Fi públicas. Considere instalar e usar uma rede privada virtual (VPN).
  • Considere adicionar um banner de e-mail aos e-mails recebidos de fora da sua organização.
  • Desative os hiperlinks nos e-mails recebidos.

Via: SecurityAffairs