Brasil é o segundo país mais atacado por novo ransomware

A firma de segurança Kaspersky disponibilizou um relatório sobre o grupo de ransomware BlackCat, que por conta da complexidade do agente malicioso utilizado em conjunto com a vasta experiência de seus controladores, está se tornando uma das principais gangues de cibercrime em 2022 — inclusive já adentrando a América Latina e tendo o Brasil como um de seus alvos.

• 5 dicas para empresas se protegerem de vazamentos de dados
• O que é ransomware? Aprenda tudo sobre a ameaça e como removê-la

O grupo de ransomware BlackCat é um agente de ameaças que opera desde, pelo menos, dezembro de 2021. Diferentemente de muitos agentes de sequestros virtuais, o agente malicioso do grupo é escrito na linguagem de programação Rust. Graças às avançadas funcionalidades de compilação cruzada do Rust, o BlackCat consegue atingir sistemas Windows e Linux — resultados que podem ser resumidos como a introdução de avanços progressivos e uma mudança nas tecnologias usadas para vencer os desafios do desenvolvimento desse tipo de ameaça.

Além dessas características, a análise da Kaspersky também mostraram conexões entre o BlackCat e grupos veteranos de ransomware, como o BlackMatter e REvil — confirmando, nesse processo, o que membros do grupo falavam na internet quanto a sucessão do golpe.

Essa conexão é exemplificada pela Kaspersky em um caso narrado no relatório, em que a equipe maliciosa atacou uma empresa de petróleo, gás, mineração e construção na América do Sul. Antes de tentar entregar o ransomware BlackCat dentro da rede visada, o associado por trás desse golpe instalou um utilitário de exfiltração personalizado modificado que chamamos Fendr — também conhecido como ExMatter, e que antes era visto exclusivamente como parte da atividade de ransomware do BlackMatter.

“Depois que os grupos REvil e BlackMatter encerraram suas operações, era apenas questão de tempo para que outro grupo de ransomware se apoderasse do nicho deles. O conhecimento do desenvolvimento do malware, uma nova amostra criada do zero em uma linguagem de programação rara e a experiência de manutenção da infraestrutura estão fazendo do grupo BlackCat um participante importante no mercado de ransomware.” comenta Dmitry Galov, pesquisador de segurança da Equipe de Pesquisa e Análise Global da Kaspersky.

Além disso, nos últimos 12 meses de atuações desses grupos, a Kaspersky identificou atividades do REvil em alguns países da América Latina, principalmente no Brasil, Colômbia e México. Esse destaque também se dá ao BlackMatter, que registrou detecções no Brasil e na República Dominicana — o que explica o BlackCat estar se expandindo pela mesma região.

Como se proteger do BlackCat e de outros ransomware

Mesmo sendo mais complexo que outras ameaças, o ransomware do grupo BlackCat ainda atua como outros ransomware, o que faz com que antigas dicas de segurança ainda funcionem com ele, como as que a Kaspersky compartilhou com o Canaltech e que reproduzimos a seguir:

Para ajudar as empresas a se proteger de ataques de ransomware, especialistas recomendam que organizações adotem as seguintes medidas assim que possível:

• Mantenha o software atualizado em todos os dispositivos usados em sua organização para evitar que o ransomware explore vulnerabilidades;
• Instrua seus funcionários sobre como proteger o ambiente corporativo por meio de cursos de treinamento variados sobre a segurança digital;
• Concentre sua estratégia de defesa na detecção de movimentação lateral e na exfiltração de dados para a Internet. Preste atenção especial ao tráfego de saída para detectar conexões de cibercriminosos;
• Faça backup de seus dados regularmente e verifique se você pode acessá-lo rapidamente em caso de emergência;
• Use a Inteligência de Ameaças mais recente para ficar ciente das táticas, técnicas e procedimentos (TTPs) que estão sendo usadas pelos agentes de ameaças;
• Use soluções de detecção de ameaças para encontrar possíveis agentes maliciosos antes que eles prejudiquem e infectem máquinas.