Ataques Cibernéticos e o Perigoso Ransomware BlackCat
Um ataque cibernético representa uma investida intencional e maliciosa, na qual se busca acesso não autorizado a um sistema computacional ou rede, explorando vulnerabilidades existentes. O objetivo dessas ações pode variar desde o furto de informações confidenciais até a interrupção das operações normais.
Em tempos recentes, o ransomware emergiu como a ferramenta predileta dos cibercriminosos. A disseminação deste tipo de malware geralmente ocorre por meio de e-mails de phishing, downloads indiretos, softwares piratas e o protocolo de área de trabalho remota, entre outras vias.
Uma vez que um computador é infectado por ransomware, este programa malicioso procede à criptografia de arquivos cruciais no sistema. Em seguida, os hackers exigem um resgate em troca da restauração dos dados criptografados.
Ataques cibernéticos podem comprometer a segurança nacional de um país, prejudicar operações em setores vitais da economia e causar danos substanciais, além de severas perdas financeiras. O ataque de ransomware WannaCry exemplifica bem esse cenário.
Em 12 de maio de 2017, o ransomware WannaCry, supostamente originado na Coreia do Norte, se propagou globalmente, infectando mais de 200.000 sistemas em mais de 150 países em menos de 48 horas. Os sistemas alvos do WannaCry rodavam o sistema operacional Windows e exploravam uma brecha no protocolo de bloco de mensagens do servidor do sistema operacional.
Uma das vítimas mais significativas desse ataque foi o Serviço Nacional de Saúde do Reino Unido (NHS). Mais de 70.000 dispositivos, incluindo computadores, equipamentos cirúrgicos, de diagnóstico e scanners de ressonância magnética, foram infectados. Os profissionais de saúde ficaram impossibilitados de acessar seus sistemas ou registros de pacientes, impedindo o atendimento aos enfermos. Esse ataque gerou um custo de aproximadamente 100 milhões de dólares para o NHS.
Esse episódio demonstra a gravidade potencial desses ataques, mas a situação pode se tornar ainda mais crítica com o surgimento de ransomwares novos e mais perigosos, como o BlackCat, que está deixando um rastro de vítimas em seu caminho.
BlackCat Ransomware
O ransomware BlackCat, também conhecido como ALPHV por seus criadores, é um programa malicioso que, após infectar um sistema, extrai e criptografa dados. A extração envolve a cópia e a transferência de informações armazenadas no sistema. Após a extração e criptografia de dados críticos pelo BlackCat, é exigido um resgate a ser pago em criptomoeda. As vítimas do BlackCat são obrigadas a pagar o valor exigido para reaver o acesso aos seus dados.
O BlackCat não é um ransomware convencional. Ele foi o primeiro ransomware de sucesso a ser desenvolvido em Rust, enquanto a maioria dos ransomwares são criados em C, C++, C#, Java ou Python. Além disso, o BlackCat inaugurou um site na web com total transparência, onde são divulgadas informações roubadas em seus ataques.
Outra diferença crucial em relação a outros ransomwares é que o BlackCat opera como um Ransomware como Serviço (RaaS). No modelo RaaS, os criadores do ransomware alugam ou vendem seu programa malicioso como um serviço para outras pessoas ou grupos.
Nesse modelo de negócio, os criadores do ransomware fornecem todas as ferramentas e infraestrutura necessárias para que terceiros possam disseminar e realizar ataques de ransomware, recebendo em troca uma parte dos lucros obtidos por meio dos pagamentos dos resgates.
Isso explica por que o BlackCat visa principalmente organizações e empresas, que, em geral, demonstram maior disposição para pagar o resgate em comparação com indivíduos. Além disso, organizações e empresas costumam realizar pagamentos de resgates mais elevados do que os indivíduos. A orientação humana e a tomada de decisões em ataques cibernéticos são conhecidas como Atores de Ameaças Cibernéticas (CTA).
Para coagir as vítimas a pagarem o resgate, o BlackCat emprega a “técnica de extorsão tripla”. Essa técnica envolve copiar e transferir os dados das vítimas e criptografar os dados em seus sistemas. As vítimas são então compelidas a pagar um resgate para acessar seus dados criptografados. Se o pagamento não for efetuado, seus dados serão expostos publicamente e/ou ataques de negação de serviço (DDoS) serão lançados em seus sistemas.
Por fim, as pessoas afetadas pelo vazamento de dados são contatadas e informadas que seus dados serão divulgados. Geralmente, trata-se de clientes, funcionários e outras pessoas associadas à empresa. Essa ação tem como objetivo pressionar as organizações a pagarem o resgate, evitando perdas de reputação e ações judiciais resultantes do vazamento de dados.
Como o BlackCat Ransomware Funciona
De acordo com um alerta divulgado pelo FBI, o ransomware BlackCat emprega credenciais de usuário comprometidas para obter acesso aos sistemas.
Uma vez dentro do sistema, o BlackCat usa esse acesso para comprometer as contas de usuários e administradores armazenadas no diretório ativo. Isso permite a utilização do Agendador de Tarefas do Windows para configurar Objetos de Política de Grupo (GPOs) maliciosos, que facilitam a disseminação do ransomware para criptografar arquivos em um sistema.
Durante um ataque do BlackCat, scripts PowerShell são usados em conjunto com o Cobalt Strike para desabilitar recursos de segurança na rede da vítima. Em seguida, o BlackCat rouba os dados das vítimas, inclusive de provedores de nuvem. Concluída essa etapa, o agente de ameaça cibernética que lidera o ataque implanta o ransomware BlackCat para criptografar os dados no sistema da vítima.
As vítimas então recebem uma mensagem de resgate informando sobre o ataque e a criptografia de arquivos importantes, juntamente com instruções sobre como efetuar o pagamento do resgate.
Por Que o BlackCat é Mais Perigoso Que o Ransomware Comum?
O BlackCat se destaca pela sua periculosidade em comparação com outros ransomwares por diversas razões:
Escrito em Rust
Rust é uma linguagem de programação rápida, segura e que oferece melhor desempenho e gestão de memória eficiente. Ao utilizar o Rust, o BlackCat se beneficia dessas vantagens, tornando-se um ransomware altamente complexo e eficiente, com criptografia rápida. Essa característica também dificulta a engenharia reversa do BlackCat. Rust é uma linguagem multiplataforma, permitindo que os agentes de ameaças personalizem o BlackCat para atingir diferentes sistemas operacionais, como Windows e Linux, aumentando seu alcance de potenciais vítimas.
Modelo de Negócios RaaS
O uso do modelo de serviço RaaS pelo BlackCat permite que diversos agentes de ameaças implementem ransomwares complexos sem a necessidade de saber como criá-los. O BlackCat realiza todo o trabalho pesado, bastando aos agentes de ameaças implementá-lo em um sistema vulnerável. Isso facilita a execução de ataques sofisticados de ransomware para agentes de ameaças interessados em explorar sistemas vulneráveis.
Oferece Pagamentos Elevados aos Afiliados
Com o modelo RaaS do BlackCat, os criadores obtêm lucro recebendo uma parcela do resgate pago aos agentes de ameaças que o implementam. Ao contrário de outras famílias RaaS que recebem até 30% do pagamento do resgate de um agente de ameaça, o BlackCat permite que os agentes fiquem com 80% a 90% do resgate. Isso aumenta o interesse no BlackCat para os agentes de ameaças, permitindo que o BlackCat angarie mais afiliados dispostos a usá-lo em ataques cibernéticos.
Site de Vazamento Público
Ao contrário de outros ransomwares que vazam informações roubadas na dark web, o BlackCat vaza informações roubadas em um site acessível na clear web. Ao divulgar os dados roubados na internet aberta, mais pessoas têm acesso aos dados, aumentando as repercussões de um ataque cibernético e pressionando ainda mais as vítimas a pagarem o resgate.
A linguagem de programação Rust tornou o BlackCat muito eficaz em seus ataques. Além disso, ao utilizar o modelo RaaS e oferecer uma alta remuneração, o BlackCat atrai um grande número de agentes de ameaças com maior probabilidade de utilizá-lo em seus ataques.
Cadeia de Infecção do BlackCat Ransomware
O BlackCat ganha acesso inicial a um sistema usando credenciais comprometidas ou explorando vulnerabilidades no Microsoft Exchange Server. Após o acesso, os agentes mal-intencionados desativam as defesas de segurança, coletam informações sobre a rede da vítima e elevam seus privilégios.
O ransomware BlackCat se move lateralmente na rede, acessando o maior número possível de sistemas. Essa estratégia é útil durante a negociação do resgate, pois quanto mais sistemas forem afetados, maior a probabilidade de a vítima pagar o resgate.
Os atores mal-intencionados extraem os dados do sistema para usá-los na extorsão. Uma vez que os dados críticos são extraídos, a fase de entrega da carga útil do BlackCat é iniciada.
A entrega do BlackCat é feita utilizando a linguagem Rust. O primeiro passo é interromper serviços como backups, aplicativos antivírus, serviços de internet do Windows e máquinas virtuais. Em seguida, o BlackCat criptografa os arquivos e altera a imagem de fundo do sistema, substituindo-a pela mensagem de resgate.
Proteja-se do BlackCat Ransomware
Embora o BlackCat demonstre ser mais perigoso que outros ransomwares já vistos, as organizações podem se proteger de diversas formas:
Criptografar Dados Críticos
Parte da estratégia de extorsão do BlackCat envolve a ameaça de vazar os dados da vítima. Ao criptografar dados críticos, a organização adiciona uma camada extra de proteção, dificultando as técnicas de extorsão empregadas pelos agentes de ameaças do BlackCat. Mesmo que os dados sejam divulgados, eles não estarão legíveis para humanos.
Atualizar Regularmente os Sistemas
Uma pesquisa da Microsoft revelou que o BlackCat explorou servidores Exchange desatualizados para obter acesso aos sistemas de algumas organizações. Empresas de software lançam regularmente atualizações para corrigir vulnerabilidades e problemas de segurança descobertos em seus sistemas. Por segurança, instale as atualizações de software assim que estiverem disponíveis.
Fazer Backup dos Dados em Local Seguro
As organizações devem priorizar o backup regular de dados e seu armazenamento em um local off-line seguro e separado, garantindo que, mesmo em caso de criptografia de dados críticos, eles possam ser restaurados a partir de backups existentes.
Implementar Autenticação Multifator
Além de usar senhas complexas em um sistema, implemente a autenticação multifator, que exige múltiplas credenciais para conceder acesso. Isso pode ser feito configurando o sistema para gerar uma senha única e enviá-la para um número de telefone ou e-mail, que será necessária para acessar o sistema.
Monitorar Atividades na Rede e Arquivos no Sistema
As organizações devem monitorar constantemente as atividades em suas redes para detectar e responder a atividades suspeitas o mais rápido possível. As atividades na rede também devem ser registradas e revisadas por especialistas em segurança para identificar possíveis ameaças. Por fim, devem ser implementados sistemas para rastrear como os arquivos são acessados, quem os acessa e como são usados.
Ao criptografar dados críticos, garantir que os sistemas estejam atualizados, fazer backup de dados regularmente, implementar a autenticação multifator e monitorar atividades no sistema, as organizações podem se antecipar e evitar ataques do BlackCat.
Recursos de Aprendizado: Ransomware
Para aprofundar seus conhecimentos sobre ataques cibernéticos e como se proteger de ataques de ransomware como o BlackCat, recomendamos realizar um dos cursos ou ler os livros sugeridos a seguir:
#1. Treinamento de Conscientização em Segurança
Este é um curso excelente para qualquer pessoa interessada em segurança na internet. Ele é ministrado pelo Dr. Michael Biocchi, um profissional certificado em segurança de sistemas de informação (CISSP).
O curso aborda temas como phishing, engenharia social, vazamento de dados, senhas, navegação segura e dispositivos pessoais, além de oferecer dicas gerais para se manter seguro na internet. O curso é atualizado regularmente e todos os usuários da internet podem se beneficiar dele.
#2. Treinamento de Conscientização em Segurança, Segurança na Internet para Funcionários
Este curso foi criado para usuários comuns da internet, com o objetivo de educá-los sobre ameaças de segurança que muitas vezes passam despercebidas e como se proteger contra essas ameaças.
O curso, ministrado por Roy Davis, especialista em segurança da informação certificado pela CISSP, aborda temas como a responsabilidade do usuário e do dispositivo, phishing e outros e-mails maliciosos, engenharia social, manipulação de dados, senhas e questões de segurança, navegação segura, dispositivos móveis e ransomware. Ao final do curso, é fornecido um certificado de conclusão, que é suficiente para estar em conformidade com as políticas de regulamentação de dados na maioria dos locais de trabalho.
#3. Segurança Cibernética: Treinamento de Conscientização para Iniciantes Absolutos
Este curso da Udemy é oferecido por Usman Ashraf da Logix Academy, uma startup de treinamento e certificações. Usman é certificado pela CISSP e tem doutorado em redes de computadores, além de vasta experiência na indústria e no ensino.
O curso oferece um estudo aprofundado sobre engenharia social, senhas, descarte seguro de dados, redes privadas virtuais (VPNs), malware, ransomware e dicas de navegação segura, além de explicar como os cookies são usados para rastrear pessoas. O curso não é técnico.
#4. Ransomware Revelado
Este livro é de autoria de Nihad A. Hassan, consultor independente de segurança da informação e especialista em segurança cibernética e forense digital. O livro ensina como mitigar e lidar com ataques de ransomware, além de oferecer aos leitores um panorama detalhado sobre os diferentes tipos de ransomware, suas estratégias de distribuição e métodos de recuperação.
O livro também aborda as etapas a serem seguidas em caso de infecção por ransomware. Isso inclui como pagar resgates, como fazer backups e restaurar arquivos afetados e como pesquisar online por ferramentas de descriptografia para reaver arquivos infectados. Aborda ainda como as organizações podem desenvolver um plano de resposta a incidentes de ransomware para minimizar os danos e restaurar operações normais rapidamente.
#5. Ransomware: Entenda. Evite. Recupere
Neste livro, Allan Liska, arquiteto de segurança sênior e especialista em ransomware da Recorded Future, responde a todas as perguntas difíceis relacionadas ao ransomware.
O livro apresenta um contexto histórico de por que o ransomware se tornou predominante nos últimos anos, como interromper ataques de ransomware, vulnerabilidades que os agentes mal-intencionados visam usando ransomware e um guia para sobreviver a um ataque de ransomware com o mínimo de danos. Além disso, o livro responde à pergunta mais importante: você deve pagar o resgate? Este livro oferece uma análise instigante sobre o ransomware.
#6. Manual de Proteção Contra Ransomware
Este livro é uma leitura obrigatória para qualquer pessoa ou organização que queira se proteger contra ransomware. Nele, Roger A. Grimes, especialista em segurança e testes de penetração, compartilha sua vasta experiência e conhecimento na área para ajudar indivíduos e organizações a se protegerem contra ransomwares.
O livro apresenta um modelo prático para organizações que buscam formular defesas robustas contra ransomware. Ele também ensina como detectar um ataque, limitar os danos rapidamente e determinar se é apropriado pagar o resgate. Além disso, oferece um plano para auxiliar as organizações a limitarem os danos financeiros e de reputação causados por graves brechas de segurança.
Por fim, ensina como estabelecer uma base segura para seguros de segurança cibernética e proteção legal, visando mitigar interrupções nos negócios e no dia a dia.
Nota do Autor
O BlackCat é um ransomware revolucionário que tem o potencial de mudar o panorama da segurança cibernética. Em março de 2022, o BlackCat já havia atacado com sucesso mais de 60 organizações e atraído a atenção do FBI. O BlackCat representa uma séria ameaça e nenhuma organização pode se dar ao luxo de ignorá-la.
Ao utilizar uma linguagem de programação moderna e métodos não convencionais de ataque, criptografia e extorsão, o BlackCat tem desafiado os especialistas em segurança a se manterem atualizados. No entanto, a batalha contra esse ransomware ainda não está perdida.
Ao implementar as estratégias descritas neste artigo e minimizar a oportunidade de erro humano que expõe sistemas, as organizações podem se manter um passo à frente e evitar o ataque catastrófico do ransomware BlackCat.