O ransomware BlackCat pode estar prestes a ficar muito mais desagradável
[ad_1]
Após uma série de ataques recentes, o notório ransomware BlackCat pode estar prestes a ficar muito mais desagradável, segundo uma nova pesquisa.
Um relatório da Sophos disse que os agentes de ameaças por trás do ransomware agora parecem ter adicionado a ferramenta Brute Ratel ao seu arsenal, tornando a ferramenta muito mais perigosa.
Brute Ratel é uma ferramenta de teste de penetração e simulação de ataque, semelhante, mas menos conhecida, que, por exemplo, Cobalt Strike.
Visando sistemas desatualizados
“O que estamos vendo com o BlackCat e outros ataques recentemente é que os agentes de ameaças são muito eficientes e eficazes em seu trabalho. Eles usam métodos testados e comprovados, como atacar firewalls e VPNs vulneráveis, porque sabem que ainda funcionam. Mas eles mostram inovação para evitar defesas de segurança, como mudar para o mais novo framework C2 pós-exploração Brute Ratel em seus ataques”, disse (abre em nova aba) Christopher Budd, gerente sênior, pesquisa de ameaças, Sophos.
O Brute Ratel não é a única ferramenta usada, pois ao analisar incidentes anteriores, o BlackCat foi observado usando outras ferramentas de código aberto e disponíveis comercialmente para criar backdoors adicionais e outras alternativas de acesso remoto, como TeamViewer ou nGrok. Obviamente, Cobalt Strike também foi usado.
Normalmente, os operadores do BlackCat procuram firewalls desatualizados (abre em nova aba) e serviços VPN não corrigidos, como seu ponto de entrada inicial. Desde dezembro de 2021, eles conseguiram se infiltrar com sucesso em pelo menos quatro organizações, explorando vulnerabilidades em firewalls.
Assim que obtiverem acesso à rede, eles usarão os firewalls para extrair as credenciais e se movimentarão livremente lateralmente por todo o sistema.
O BlackCat não parece favorecer nenhuma vítima em explicit, com a ameaça direcionada a empresas nos EUA, Europa e Ásia.
O único pré-requisito para um ataque é que a empresa opere em sistemas que chegaram ao fim da vida útil, não tenham autenticação multifator ou VPNs e usem redes planas (onde cada endpoint tem visibilidade de todos os outros endpoints na rede ).
“O denominador comum com todos esses ataques é que eles foram fáceis de realizar. Em um exemplo, os mesmos invasores do BlackCat instalaram criptomineradores um mês antes de lançar o ransomware. Esta pesquisa mais recente destaca a importância de seguir as melhores práticas de segurança estabelecidas; eles ainda têm muito poder para prevenir e impedir ataques, incluindo vários ataques contra uma única rede.”
[ad_2]
Fonte da Notícia: www.techradar.com