Malware BlackCat (também conhecido como ALPHV)

Detectado pela primeira vez em novembro de 2021, o BlackCat (também conhecido como ALPHV, Noberus) é considerado uma das cepas de malware mais sofisticadas e ameaçadoras de 2021 e 2022. No entanto, a campanha de blitz do BlackCat atingiu o pico no final de 2022, com uma queda de 28% nas infecções registradas. 

O BlackCat é o primeiro malware de destaque escrito na linguagem de programação Rust, uma nova linguagem cuja popularidade está aumentando devido ao seu alto desempenho e segurança de memória. O BlackCat também possui outro recurso: ele pode comprometer os sistemas operacionais baseados em Windows e Linux.

O BlackCat é operado como um ransomware como serviço (RaaS) pelo ALPHV, um grupo de atores do crime cibernético de língua russa. Suas campanhas geralmente empregam uma tática de extorsão tripla: fazer pedidos de resgate individuais para a descriptografia de arquivos infectados; para não publicar dados roubados; e para não lançar ataques de negação de serviço (DoS). Tendo comprometido cerca de 200 organizações corporativas entre novembro de 2021 e setembro de 2022, a BlackCat tem como alvo mais frequente empresas dos setores financeiro, de manufatura, jurídico e de serviços profissionais, mas as explorações da BlackCat abrangem todos os setores.

O BlackCat está relacionado às variantes de ransomware BlackMatter e DarkSide em relação ao seu código-fonte e aos usuários. Os operadores do BlackCat anunciam o ransomware para possíveis afiliados em fóruns privados, como os fóruns da darknet XSS, Exploit Forum e RAMP5, onde procuram novos criminosos cibernéticos para se juntarem a eles.

O primeiro estágio dos ataques BlackCat se baseia em credenciais falsificadas, forçadas e adquiridas ilicitamente, geralmente para conexões RDP (Remote Desktop Protocol) e serviços de VPN (Virtual Private Network), bem como em vulnerabilidades publicadas como CVEs (como CVE-2019-7481). 

O segundo estágio de um ataque do BlackCat normalmente começa com o estabelecimento de túneis SSH reversos para uma infraestrutura de comando e controle (C2) controlada pelo BlackCat. A partir daí, os ataques são totalmente orientados por linha de comando, operados por humanos e altamente configuráveis. A principal diretriz da pós-infecção do BlackCat é o movimento lateral dentro da rede da vítima usando o PsExec para atacar contas de usuário e administrador do Active Directory e a exfiltração e criptografia de arquivos confidenciais.

A carga útil principal do BlackCat é o primeiro malware conhecido escrito na linguagem de programação "Rust" e pode infectar sistemas baseados em Windows e Linux. O BlackCat é eficaz contra todas as versões do Windows, desde o XP e posteriores (incluindo o Windows 11), versões do Windows Server desde 2008, Debian e Ubuntu Linux, hipervisor de virtualização ESXI, bem como produtos de armazenamento conectado à rede ReadyNAS e Synology.

• Interrupção de VMs ESXi e exclusão de qualquer snapshot ESX de backup
• Usar o PowerShell para desativar o Windows Defender ou alterar suas configurações de segurança para desativar determinados recursos
• Uso do PsExec para atacar contas de usuário e administrador do Active Directory
• Instalar a ferramenta de teste de penetração CobaltStrike e usá-la para se deslocar lateralmente para outros sistemas na mesma rede 
• Prevenção de seu código-fonte, detectando ferramentas de análise de malware, como hipervisores de VM, e interrompendo seu processo
• Uso de uma ferramenta de software chamada Fendr (também conhecida como ExMatter) para exfiltrar arquivos.PDF,.DOC,.DOCX,.XLS,.TXT,.BMP,.RDP,.SQL e.ZIP, entre outros tipos de arquivos
• Exclusão de backups de cópia de sombra do Windows à medida que os arquivos de destino são criptografados
• Evitar produtos de detecção de malware alterando seu conteúdo binário e sua assinatura

O BlackCat também tem um esquema de criptografia altamente modular definido em um arquivo de configuração JSON que permite o uso de uma chave exclusiva para cada campanha e tem um processo multi-threaded para criptografia rápida de arquivos e criptografia AES-128 multipass para impedir qualquer tentativa de descriptografia. O BlackCat também emprega criptografia intermitente (ou parcial) para aumentar a eficiência da criptografia. O BlackCat tem vários modos de criptografia configuráveis que permitem que os arquivos sejam parcialmente criptografados, especificando o número de bytes a serem criptografados, uma porcentagem do arquivo a ser criptografada ou usando uma técnica de "padrão inteligente" - criptografando bytes individuais usando um deslocamento de módulo a partir do início do arquivo. O módulo de criptografia também inclui uma configuração "Auto", na qual o modo de criptografia é selecionado com base na extensão de cada arquivo, permitindo que o BlackCat resgate arquivos de forma mais eficiente, dependendo de seu conteúdo.

A proteção contra o BlackCat exige um programa sólido de segurança cibernética empresarial, incluindo segurança de endpoint que detecte e bloqueie novas técnicas. Veja a seguir as táticas defensivas para atenuar um ataque do BlackCat:

• Verifique se os aplicativos do Office estão configurados com as definições Desativar todas as macros sem notificação ou Desativar todas as macros, exceto as assinadas digitalmente
• Exigir senhas fortes e autenticação multifatorial (MFA) para todos os serviços de acesso remoto e garantir que todas as senhas padrão sejam alteradas
• Considere o treinamento de conscientização do usuário para instruir o pessoal sobre técnicas de phishing e desenvolva procedimentos operacionais padrão (SOP) para lidar com e-mails e documentos suspeitos
• Configure os clientes de e-mail para notificar os usuários quando os e-mails forem originados de fora da organização
• Garantir que as atualizações e os patches de segurança sejam aplicados em todo o ambiente de TI, incluindo produtos de segurança, sistemas operacionais e aplicativos
• Monitore a atividade da rede quanto a tentativas de força bruta e limite a taxa de tentativas de autenticação para serviços essenciais
• Implemente uma forte segurança de rede, incluindo privilégios mínimos, segmentação de serviços essenciais, controles de acesso baseados em funções, autenticação multifator e defesa em profundidade para reduzir os possíveis danos causados por credenciais roubadas. 
• Configure o Registro do Windows para exigir que o UAC (User Account, Conta de Usuário) limite o acesso ao PsExec para impedir seu uso para movimentação lateral
• Desenvolver e manter uma estratégia sólida de backup para garantir a resiliência contra ataques de ransomware
• Configure servidores da Web e APIs com módulos de segurança para otimizar seu desempenho durante um pico de tráfego e ataques de DDOS ou adquira serviços de atenuação de DDOS de um provedor de serviços de Internet (ISP), de uma rede de distribuição de conteúdo (CDN) ou de provedores de firewall de aplicativos da Web (WAF)