0
0
Um grupo de ransomware que ostenta seus membros vem de grupos agora fechados BlackMatter e REvil emergiu das sombras para lançar um novo ransomware-as-a-service, já atacando um provedor de serviços de planejamento de recursos corporativos (ERP) e uma empresa industrial, mostra uma nova pesquisa.
O grupo, conhecido como ALPHV, e seu malware BlackCat já infectaram “inúmeras vítimas corporativas”, disse a empresa de segurança Kaspersky em uma análise inicial publicada em 7 de abril. Os operadores do novo grupo anunciam-se como a opção mais forte para substituir blackmatter e REvil após as derrubadas internacionais desses grupos de ransomware e suas infraestruturas. Pesquisadores da Kaspersky detectaram sinais de que pelo menos alguns dos membros provavelmente tiveram papéis em um grupo anterior, BlackMatter.
A divisão exata das atividades entre o novo grupo, suas afiliadas e outros serviços de cibercriminosos não está clara, diz Kurt Baumgartner, principal pesquisador de segurança da Kaspersky.
“Com toda a probabilidade, o conjunto global de incidentes globais do BlackCat é realizado por uma mistura tanto do grupo que mantém o código e serviço, quanto das afiliadas que realizam seu próprio trabalho”, diz ele. “Parte desse trabalho pode ser dividido ainda mais, também, em corretores de acesso e esforços de penetração realizados pelos grupos individuais.”
A análise — e o forte indício de que pelo menos alguns dos operadores podem ter feito parte do BlackMatter — mostra que derrubar a infraestrutura dos grupos de ransomware não os impede de se instalarem novamente.
No caso da ALPHV, os pesquisadores da Kaspersky descobriram que o grupo usava uma ferramenta privada, apelidada de Fendr, que só foi usada pela BlackMatter no passado. A ALPHV usou a ferramenta para exfiltrar dados de vítimas corporativas em dezembro de 2021 e janeiro de 2022 antes de implantar ransomware, em uma tática popular conhecida como extorsão dupla.
“Nossa telemetria sugere que pelo menos alguns membros do novo grupo BlackCat têm links para o grupo BlackMatter, porque eles modificaram e reutilizaram uma ferramenta de exfiltração personalizada que chamamos de Fendr e que só foi observada na atividade BlackMatter”, afirmou Kaspersky no resumo da ameaça. “Esse uso de um Fendr modificado, também conhecido como ExMatter, representa um novo ponto de dados conectando o BlackCat com a atividade blackmatter passada.”
Codificadores de malware Take a Shine to Rust
O grupo é um dos poucos que escreveu suas ferramentas na popular, mas ainda incomum, linguagem de programação Rust, que permite compilar rapidamente ferramentas para várias plataformas, afirmou a Kaspersky em seu post no blog. Rust permite que o grupo libere uma versão para Windows e Linux, por causa da compilação cruzada, e tem verificações de segurança significativas para reduzir o incidente de vulnerabilidades.
“Rust é uma linguagem de compilação cruzada, então várias amostras do BlackCat Linux apareceram rapidamente na natureza logo após seus homólogos do Windows”, afirmaram os pesquisadores na análise. Outras empresas de segurança viram um aumento no malware Linux no último ano.
A Kaspersky detectou a atividade blackcat contra um provedor do Oriente Médio de serviços de planejamento de recursos corporativos (ERP), com os invasores tentando roubar credenciais, bem como criptografar as unidades. Um segundo ataque — contra uma empresa de petróleo, gás, mineração e construção na América do Sul — incluiu o uso da ferramenta de exfiltração Fendr.
REvil e BlackMatter Redux?
A difusão da composição do grupo atual é uma tarefa complexa, pois a ALPHAV é uma coleção de desenvolvedores, serviços RaaS, afiliados, negociadores e suporte de saque, diz Baumgartner. Poderia o grupo ALPHAV ser apenas um afiliado que criou sua própria organização e decidir usar as marcas REvil e BlackMatter para reconhecimento de nomes?
“É possível, e certamente, ‘eles’ – ALPHAV – afirmam ser compostos de várias partes de vários esquemas de ransomware passados, incluindo REvil e BlackMatter, mas, ao mesmo tempo, são fontes completamente não confiáveis com agendas ruins próprias”, diz ele. “Eu vou dizer que está claro para pelo menos uma parte da atividade BlackCat, há uma linhagem definitiva de volta à atividade BlackMatter.”
Embora tanto revil e BlackMatter tenham sido ligados aos atores russos, Baumgartner não poderia dizer se a ALPHV é em si composta por cidadãos russos. Pesquisas anteriores se conectaram a outros grupos, como DarkSide e LockBit 2.0.
A Kaspersky tem sido o foco de um debate sobre se o software da empresa poderia representar uma ameaça à segurança nacional. Em 2017, operadores russos de espionagem cibernética roubaram ferramentas confidenciais de ciberataque e defesa do computador doméstico de um empreiteiro da Agência de Segurança Nacional explorando o software de segurança da Kaspersky. Desde então, o governo dos EUA baniu o software, mas a questão ressurgiu com a invasão russa da Ucrânia. De acordo com uma reportagem do The Wall Street Journal, o governo Biden está debatendo se sancionará a empresa.
FONTE: DARK READING