0
0
O ransomware Black Basta surgiu no mês passado para atingir apenas sistemas baseados em Windows, mas agora o mais recente binário de ransomware está atrás de máquinas virtuais (VMs) VMware.
A variante mais recente procura criptografar VMs presentes dentro da pasta de volumes (/vmfs/volumes) em sistemas e servidores baseados em ESXi, de acordo com a pesquisa compartilhada com o Dark Reading pela Uptycs. Ele usa o algoritmo ChaCha20 para criptografar os arquivos, dizem os pesquisadores, e também multithreading para criptografia para utilizar vários processadores e se tornar mais rápido e mais difícil de detectar.
“Fornemente que os recursos nos servidores sejam muito mais do que em um sistema normal, o uso desses tipos de mecanismos faz com que o ransomware funcione muito mais rápido para criptografar arquivos”, explica o pesquisador de segurança da Uptycs, Siddharth Sharma.
Ele diz à Dark Reading que os atacantes estão constantemente fazendo avanços na cadeia de ataques de malware para atingir mais e mais vítimas – assim como neste caso, o que a equipe poderia ver pela adição do componente “*nix” dentro do binário.
“A maioria das organizações que possuem nuvens privadas baseadas em hosts VMware ESXi, ou organizações que usam hosts ESXi para armazenar dados e outros trabalhos operacionais, torna-se importante ficar de olho nos mecanismos de monitoramento de pastas confidenciais [e dados] presentes dentro dos sistemas e servidores”, disse ele.
Durante a investigação e análise da Uptycs sobre o binário ransomware, encontrou evidências indicando que os atores por trás desta campanha são os mesmos por trás das primeiras campanhas do Black Basta.
“Descofuscamos que o link de cebola para o painel de bate-papo do invasor era o mesmo das versões anteriores dos binários de ransomware Black Basta, que visavam os sistemas Windows”, disse Sharma.
Além disso, a extensão usada pelo binário ransomware em arquivos criptografados era a mesma das versões anteriores (.basta).
A descoberta da Uptycs segue a pesquisa do Grupo NCC, que na terça-feira descobriu uma nova parceria entre a Black Basta e a família de malware Qbot (também conhecida como Qakbot), que rouba credenciais bancárias, credenciais de domínio do Windows e entrega malware em sistemas infectados.
Durante uma recente resposta a incidentes, a gangue Black Basta foi observada usando Qbot para se espalhar lateralmente por toda a rede.
“O Qakbot foi o principal método utilizado pelo ator de ameaças para manter sua presença na rede”, afirmou o relatório.
Outras características da campanha incluíram:
- Coletando endereços IP internos de todos os hosts da rede.
- Desativando o Windows Defender.
- Excluindo backups Veeam de servidores Hyper-V.
- Uso do WMI para empurrar o ransomware.
O CEO da YouAttest, Garret Grajek, diz à Dark Reading que a principal conclusão deste aviso é a colaboração e integração de componentes e grupos de hackers.
“Um grupo descobre a vulnerabilidade, outro cria a exploração e outro mane o centro C2 [comando e controle] para receber a comunicação do host infectado”, diz Grajek. “A seriedade e a eficiência da colaboração não podem ser subestimadas.”
Ele aconselha as empresas a implementar conceitos como confiança zero e governança de identidade rigorosa para saber quais permissões eles concederam a todas as contas — e para observar quaisquer mudanças.
FONTE: DARK READING