top of page
Foto do escritorInternational IT

BlackCat utiliza nova tática de corrupção de dados em ataques de ransomware

Atualizado: 30 de nov. de 2023

O ransomware BlackCat (também conhecido como ALPHV e Noberus) continua a trabalhar na evolução de sua ferramenta de exfiltração de dados usada para ataques de extorsão dupla.




O BlackCat é considerado um sucessor do Darkside e do BlackMatter e é uma das operações de Ransomware-as-a-Service (RaaS) mais sofisticadas e tecnicamente avançadas. Em um novo relatório, pesquisadores da Symantec afirmam:

Entre alguns dos desenvolvimentos mais notáveis está o uso de uma nova versão da ferramenta de exfiltração de dados Exmatter e o uso do Eamfo, malware de roubo de informações projetado para coletar credenciais armazenadas pelo software de backup Veeam.

Na nova versão do Exmatter, além de colher arquivos apenas com um conjunto específico de extensões, a versão reformulada gera um relatório de todos os arquivos processados e os corrompe posteriormente. Segundo o site BleepingComputer, as principais melhorias foram:

  • Seleção dos tipos de arquivos a serem exfiltrados para: PDF, DOC, DOCX, XLS, PNG, JPG, JPEG, TXT, BMP, RDP, SQL, MSG, PST, ZIP, RTF, IPT e DWG.

  • FTP como uma opção de exfiltração além de SFTP e WebDav.

  • Oferecer opção para construir um relatório listando todos os arquivos processados

  • O recurso “Eraser” dando a opção de corromper os arquivos processados

  • Opção de configuração “Auto-destruição” para sair e se excluir se executado em ambientes inválidos.

  • Remoção do suporte para Socks5

  • Opção para implementação de GPO



Além dos recursos expandidos, a versão mais recente do Exmatter passou por uma pesada refatoração de código, implementando os recursos existentes de forma que evitem a detecção. Os pesquisadores acrescentam:

Seu desenvolvimento contínuo também destaca o foco do grupo no roubo e extorsão de dados, e a importância desse elemento de ataques para os agentes de ransomware.

O BlackCat também foi visto recentemente usando o malware Emotet como vetor de infecção inicial, além disso, recebeu o influxo de novos membros vindos do agora extinto grupo de ransomware Conti.

 

Conte com a International IT para proteger sua empresa de ataques cibernéticos com o que há de melhor no mercado.


Posts recentes

Ver tudo

Nos acompanhe nas redes sociais!

1200X628 - SAND.png
1200X628 -NOC.png

Ver todos os materiais gratuitos

bottom of page