O ransomware BlackCat (também conhecido como ALPHV e Noberus) continua a trabalhar na evolução de sua ferramenta de exfiltração de dados usada para ataques de extorsão dupla.
VEJA TAMBÉM: Ransomware em 2022: O que esperar?
O BlackCat é considerado um sucessor do Darkside e do BlackMatter e é uma das operações de Ransomware-as-a-Service (RaaS) mais sofisticadas e tecnicamente avançadas. Em um novo relatório, pesquisadores da Symantec afirmam:
Entre alguns dos desenvolvimentos mais notáveis está o uso de uma nova versão da ferramenta de exfiltração de dados Exmatter e o uso do Eamfo, malware de roubo de informações projetado para coletar credenciais armazenadas pelo software de backup Veeam.
Na nova versão do Exmatter, além de colher arquivos apenas com um conjunto específico de extensões, a versão reformulada gera um relatório de todos os arquivos processados e os corrompe posteriormente. Segundo o site BleepingComputer, as principais melhorias foram:
Seleção dos tipos de arquivos a serem exfiltrados para: PDF, DOC, DOCX, XLS, PNG, JPG, JPEG, TXT, BMP, RDP, SQL, MSG, PST, ZIP, RTF, IPT e DWG.
FTP como uma opção de exfiltração além de SFTP e WebDav.
Oferecer opção para construir um relatório listando todos os arquivos processados
O recurso “Eraser” dando a opção de corromper os arquivos processados
Opção de configuração “Auto-destruição” para sair e se excluir se executado em ambientes inválidos.
Remoção do suporte para Socks5
Opção para implementação de GPO
VEJA TAMBÉM: Ransomware: Guia de Prevenção e Respostas para CISOs
Além dos recursos expandidos, a versão mais recente do Exmatter passou por uma pesada refatoração de código, implementando os recursos existentes de forma que evitem a detecção. Os pesquisadores acrescentam:
Seu desenvolvimento contínuo também destaca o foco do grupo no roubo e extorsão de dados, e a importância desse elemento de ataques para os agentes de ransomware.
O BlackCat também foi visto recentemente usando o malware Emotet como vetor de infecção inicial, além disso, recebeu o influxo de novos membros vindos do agora extinto grupo de ransomware Conti.
Conte com a International IT para proteger sua empresa de ataques cibernéticos com o que há de melhor no mercado.
Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk
Comments