Novo ransomware desabilita sistemas de segurança

Salvador, 08/11/2022 – CLM, distribuidor latino-americano de valor agregado com foco em segurança da informação, proteção de dados, infraestrutura para data centers e cloud, alerta para novos ataques de ransomware que usam ferramentas personalizadas de evasão de EDR – Endpoint Detection and Response. Trata-se do ransomware Black Basta, que vem usando técnicas, até então desconhecidas, capazes de desabilitar sistemas de segurança como o Windows Defender, obter acesso privilegiado e se camuflar no sistema.

A descoberta foi feita pelos pesquisadores do Sentinel Labs, laboratório de pesquisas sobre crimes digitais da SentinelOne, cuja solução de proteção contra Ransomware e outros malwares é baseada em inteligência artificial.

O CEO da CLM, Francisco Camargo, explica que os pesquisadores do Sentinel Labs descreveram as táticas, técnicas e procedimentos operacionais do Black Basta, em um relatório detalhado que mostra a seriedade dos estudos divulgados em espaço aberto. “Na análise os pesquisadores descobriram que o Black Basta instala ferramentas personalizadas, seus ataques usam uma versão camuflada do ADFind e exploram as vulnerabilidades PrintNightmare, ZeroLogon e NoPac para escalonamento de privilégios”.

Além disso, continua o executivo, os cibercriminosos iniciam suas ofensivas com um Qakbot, entregue por e-mail e documentos do MS Office, que contenham macros, droppers ISO+LNK e documentos .docx que exploram a vulnerabilidade de execução remota de código MSDTC, CVE-2022-30190. “Depois de usar meticulosas técnicas de invasão, inclusive se tornando o administrador do sistema com uma senha própria, eles cobrem seus rastros”, descreve Camargo.

Black Basta mantém e implanta ferramentas personalizadas

Em seu relatório, o Sentinel Labs explica que o Black Basta usa diversos métodos para movimento lateral, implantando diferentes scripts, em lote, por meio de Psexec em diferentes máquinas para automatizar o encerramento de processos e serviços e prejudicar as defesas. O ransomware também foi implantado em várias máquinas via psexec.

Nos incidentes mais recentes do Black Basta, o Sentinel Labs observou um arquivo em lote chamado SERVI.bat implantado por meio do psexec em todos os terminais da infraestrutura de destino. Esse script, instalado pelo invasor, tem o objetivo de eliminar serviços e processos para maximizar o impacto do ransomware, excluir as cópias shadow e eliminar determinadas soluções de segurança.

O ransomware Black Basta surgiu em abril de 2022 e invadiu mais de 90 organizações até setembro de 2022. A rapidez e o volume de ataques provam que os atores por trás do Black Basta são bem organizados e com bons recursos. Segundo os pesquisadores do Sentinel Labs, ainda não houve indicações de que o Black Basta esteja recrutando afiliados ou se anunciando como RaaS – Ransomware as a Service – nos fóruns da darknet ou mercados de crimeware.

Isso tem levado a muita especulação sobre a origem, identidade e operação do grupo.

A pesquisa indica que os indivíduos por trás do ransomware Black Basta desenvolvem e mantêm seu próprio kit de ferramentas e excluem afiliados ou apenas colaboram com um conjunto limitado e confiável (para eles) de afiliados, de maneira semelhante a outros grupos de ransomware ‘privados’, como Conti, TA505 e Evilcorp.

Velhos conhecidos por trás do novo ransomware

O SentinelLabs avalia que é provável que o desenvolvedor dessas ferramentas de evasão de EDR seja ou tenha sido o desenvolvedor do FIN7. Segundo os pesquisadores, o ecossistema de crimeware está em constante expansão, mudança e evolução. O FIN7 (ou Carbanak) é frequentemente creditado por inovar no espaço criminal, levando os ataques contra bancos e sistemas PoS a novos patamares, muito além dos esquemas de seus pares.

“À medida que consigamos esclarecer a mão por trás da indescritível operação de ransomware Black Basta, não ficaríamos surpresos ao encontrar um rosto familiar por trás dessa ambiciosa operação. Embora existam muitos rostos novos e ameaças diversas no espaço de ransomware e extorsão dupla, é esperado ver as equipes criminosas profissionais existentes dando seu próprio toque na maximização de lucros ilícitos de novas maneiras”, avaliam.

Para mais informações, acesse o link da pesquisa.

Últimas notícias

Vagas de TI
NAVA tem mais de 100 vagas de trabalho em aberto

Salvador, 18/04/2024 – A NAVA Technology for Business, empresa que fornece serviços e soluções de tecnologia, está ampliando sua oferta de vagas e, atualmente, tem mais de 100 posições abertas para atuação em São Paulo, Belo Horizonte, Curitiba, Maringá, Barueri e Osasco (modelo híbrido) e outras para atuação 100% remota, considerando profissionais de todo o […]
Dança da Cadeiras
Alexandre Tannous é o novo CTO da Accesstage

Executivo acumula mais de 25 anos de experiência e passagens por grandes empresas do mercado Salvador, 18/04/2024 – Especializada em tecnologia para pagamentos B2B e gestão financeira das empresas, a Accesstage estipulou metas agressivas para este ano de 2024. Uma delas é o crescimento de 120% e o atingimento de R$ 5Bi em recebíveis antecipados […]
Negócios
Senior Sistemas é certificada pela Great Place to Work pelo 7º ano consecutivo

Companhia reforça a importância do crescimento sustentável, impulsionado por um trabalho organizacional voltado para competências e pelo comprometimento dos mais de 2 mil colaboradores Salvador, 18/04/2024 – Somando mais de 35 anos de atuação no mercado de tecnologia para gestão dos negócios, a Senior Sistemas é hoje uma das principais empresas do Brasil quando o […]
Negócios
SEK anuncia aquisição da PROOF

Salvador, 18/04/2024 – A SEK (Security Ecosystem Knowledge), provedora de soluções e serviços de cibersegurança voltados a apoiar as empresas a lidar com ameaças digitais complexas, anuncia a aquisição da PROOF, empresa referência no mercado de Segurança da Informação, com ofertas de Serviços Gerenciados de Segurança (MDR – Managed Detection and Response) e Consultoria (governança […]
Artigos
Produção fabril do futuro: Microsoft anuncia inovações de IA para a indústria que vão desde soluções para nuvem até produção final

Por Kathleen Mitford – CVP, Indústria Global da Microsoft Salvador, 18/04/2024 – Após anos de incerteza, com a diminuição da produção na cadeia de suprimentos e o aumento das expectativas dos clientes, até mudanças na demanda do consumidor e escassez de mão de obra, a manufatura continua sendo uma das indústrias mais resilientes e complexas. […]

Menu