Sumário
O BlackCat (também conhecido como ALPHV e Noberus) é um grupo de Ransomware-as-a-Service (RaaS) que surgiu em novembro de 2021, e ganhou as manchetes por ser um ransomware sofisticado escrito em Rust. Além de ter variantes Windows e Linux, sua carga útil pode ser personalizada para se adaptar às necessidades do atacante. Acredita-se que o BlackCat seja o sucessor dos grupos de ransomware Darkside e BlackMatter . Eles trabalham com um esquema de dupla extorsão, onde os dados são roubados, criptografados e vazados caso o resgate não seja pago, o que é uma metodologia comum implementada pelos grupos de RaaS.
Segundo a Microsoft, o BlackCat foi encontrado mirando em diferentes países e regiões da África, Américas, Ásia e Europa, tendo pelo menos dois afiliados conhecidos: DEV-0237 (anteriormente associado à Ryuk, Conti e Hive), e DEV-0504 (anteriormente associado à Ryuk, REvil, BlackMatter e Conti). No entanto, devido à diversidade de afiliados e alvos, o BlackCat pode apresentar diferentes TTPs nos ataques. Recentemente, em setembro de 2022, o BlackCat alegou ter violado um contractor que presta serviços ao Departamento de Defesa dos EUA e outras agências governamentais.
Neste blog post, analisaremos o BlackCat e mostraremos algumas das táticas e técnicas que encontramos em um ataque recente de ransomware analisado pelo Netskope Threat Labs. As evidências mostram que este foi um ataque direcionado, onde os hackers estavam focados em roubar dados sensíveis da organização e infectar o maior número possível de dispositivos.
Apoio inicial e movimentos laterais
No incidente recente analisado pelo Netskope Threat Labs, os atacantes violaram um contractor que tinha acesso a um desktop virtual dentro da rede corporativa.
O atacante usou uma extensão maliciosa do navegador para capturar a conta do contractor. Como nenhum MFA foi requerido, ele conseguiu fazer login no desktop virtual, escalar privilégios e acessar outros dispositivos na rede corporativa.
Execução do payload
Depois de fazer uma varredura da rede corporativa, os atacantes BlackCat criaram vários arquivos de texto, cada um deles contendo os nomes das máquinas identificadas na rede.
Em seguida, eles usaram o PsExec e uma conta de domínio comprometida para implantar o ExMatter em mais de 2.000 máquinas na rede.
Os atacantes usaram arquivos de lote para executar vários comandos PsExec e implementar payloads nas máquinas identificadas.
Abaixo está um exemplo da linha de comando usada pelo atacante para executar comandos e payloads remotamente com o PsExec e a conta comprometida:
start PsExec.exe -d -n 5 @C:\temp\list01.txt -accepteula -u <REDACTED_USER> -p <REDACTED_PASSWORD> cmd /c <COMMAND_LINE>
A descrição dos argumentos do PsExec usados pelo atacante pode ser encontrada abaixo:
Argumento | Description |
---|---|
-d | Não espere que o processo seja encerrado (não interativo) |
-n 5 | Esperar 5 segundos ao conectar-se a computadores remotos |
@C:\temp\list01.txt | Arquivo contendo os nomes dos computadores nos quais o PsExec executará o comando |
-accepteula | Aceitar automaticamente o EULA para evitar a exibição do diálogo |
-você | Nome de usuário da conta comprometida utilizada pelo atacante |
-p | Senha da conta comprometida utilizada pelo atacante |
cmd /c | Linha de comando executada pelo atacante |
Entre outras evidências, é possível confirmar se o PsExec foi executado com sucesso em um dispositivo, verificando a seguinte chave de registro.
Exfiltração de dados
Neste incidente, os atacantes usaram uma ferramenta de exfiltragem de dados .NET conhecida como ExMatter, a mesma usada pelo ransomware BlackMatter e recentemente adotada pelo BlackCat. Vale a pena mencionar que o servidor utilizado para a exfiltragem de dados neste incidente foi descoberto pelos atacantes um dia antes do ataque.
A amostra específica deste incidente foi compilada perto do ataque e contém uma proteção .NET popular chamada Confuser.