o que é BlackCat Ransomware

O que é BlackCat Ransomware? O FBI emitiu recentemente um aviso acerca de uma nova estirpe de "ransomware" conhecido como BlackCat Ransomware (também conhecido como Noberus e AlphaV) que tem vindo a causar estragos em empresas e computadores pessoais em todo o mundo (operando principalmente nos EUA). Os agentes do FBI estão preocupados que o BlackCat possa tornar-se um grave problema para as empresas se não for controlado. Embora a maioria das empresas tenha sistemas de segurança fortes para manter os hackers afastados, podem não estar preparadas para um ataque como este.

Pode ler o artigo completo da Forbes, aqui.

BlackCat Ransomware: Uma nova gangue de resgate está à solta  

O BlackCat utiliza técnicas de encriptação semelhantes a outros tipos de resgates, mas também acrescenta algumas medidas de segurança adicionais para tornar mais difícil decifrar ficheiros se estes forem encriptados. Isto inclui a utilização de dois algoritmos de encriptação diferentes e a garantia de que a chave de desencriptação nunca é armazenada na mesma unidade que os ficheiros encriptados.

Os criadores do BlackCat parecem visar empresas e organizações em vez de indivíduos, o que faz sentido uma vez que estes tipos de organizações tendem a estar mais dispostos a pagar o resgate do que os indivíduos estariam.

BlackCat é um grupo de cibercriminosos que tem como alvo as empresas para roubar a sua propriedade intelectual e informação pessoal. É conhecido por visar negócios nos sectores da construção e engenharia, retalho, transportes, serviços comerciais, seguros, e maquinaria.

O grupo também atacou organizações na Europa e nas Filipinas. O maior número das suas vítimas até agora são dos EUA, mas isto pode mudar à medida que continua a expandir o seu alcance em todo o mundo.

D

O que é o BlackCat Ransomware: Um Ransomware-as-a-Service (RaaS)

BlackCat Ransomware é um modelo de negócio de resgate como serviço (RaaS) que depende de uma estrutura de marketing afiliada. Operar como um modelo de negócio RaaS significa que a BlackCat não hospeda nem distribui o malware em si - depende de terceiros para o fazer por eles. Operar desta forma permite à BlackCat evitar a responsabilidade legal e também a ajuda a evitar a detecção por software antivírus.

O que é a Ransomware-as-a-Service? 

O Ransomware-as-a-service (RaaS) é um tipo relativamente novo de ciberataque que permite a qualquer pessoa comprar software malicioso e utilizá-lo para manter os ficheiros como reféns, normalmente, até ser pago um resgate.

RaaS é extremamente lucrativo para os hackers porque podem alugar o seu software de resgate a outros criminosos sem terem de se preocupar em serem apanhados pelas forças da lei, como fariam se estivessem a executar os seus próprios ataques.

RaaS opera através da utilização de programas "afiliados", que são essencialmente programas que permitem às pessoas ganhar dinheiro através da propagação de malware. Os afiliados são pagos por cada vítima que infectam e por cada vez que o malware gera receitas. Quanto mais bem sucedido for um afiliado na propagação de RaaS, mais dinheiro podem ganhar.

Como é que funciona?

O Ransomware é normalmente entregue através de correio electrónico ou através de um website que tenha sido pirateado. O malware encripta então todos os ficheiros do utilizador e exibe um alerta indicando que o utilizador violou as leis federais, resultando no seu computador ser bloqueado. O atacante informa então o utilizador de que pode desbloquear o seu computador pagando uma taxa de resgate - normalmente entre $200 e $600-via bitcoin ou outra moeda criptográfica.

A razão pela qual os criminosos RaaS são capazes de escapar a este tipo de esquema é que a maioria das vítimas não o denunciam quando estão infectadas com um resgate; em vez disso, tentam resolver o problema eles próprios pagando o resgate e esperando o melhor.

Precisa de protecção contra ataques de resgates? Leia mais sobre DMARC e Ransomware aqui.

A Anatomia do BlackCat Ransomware

O Ransomware é considerado um método de infecção sofisticado e tem o potencial de tornar um hospedeiro infectado inutilizável. Pode causar grandes danos a uma organização se não for detectado rapidamente. O BlackCat ransomware foi descarregado através de ficheiros Microsoft Office contendo um executável malicioso incorporado. A carga útil contém código que permite que o malware se espalhe pela rede comprometida, visando tanto os sistemas Windows como Linux.

O BlackCat ransomware é descrito como um ataque "multi-estágio" com o objectivo de explorar as contas de utilizadores e administradores do Active Directory (AD) a fim de encriptar ficheiros em computadores alvo. Além disso, o BlackCat/ALPHV ransomware aproveita as credenciais de utilizador anteriormente comprometidas para obter acesso inicial ao sistema da vítima.

Como prevenir o BlackCat Ransomware?

Passos manuais para prevenir ataques de BlackCat Ransomware:

  1. Actualize o seu software regularmente. O Ransomware visa normalmente sistemas mais antigos ou sistemas que não são actualizados há algum tempo, por isso certifique-se de que sabe que software está a correr no seu computador, e certifique-se de que está actualizado.
  2. Faça cópias de segurança de todos os seus ficheiros regularmente e guarde-os em dois locais diferentes (como em dois discos rígidos externos diferentes). Desta forma, se uma unidade falhar ou ficar infectada com malware, ainda terá cópias de todos os seus ficheiros noutro local, noutra unidade ou na nuvem, num local seguro contra danos!
  3. Use senhas fortes que não sejam reutilizadas em qualquer outro lugar (especialmente não múltiplas vezes através de contas diferentes), e nunca clique em links enviados por e-mail - mesmo que pareçam vir de alguém em quem confia!
  4. Não pague o resgate! Pagar aos criminosos é apenas deitar dinheiro fora. A única forma de desbloquearem os seus dados (eles reclamam) é se lhes pagar primeiro - mas eles estão a mentir! Não caia nessa!
  5. Tente usar a ferramenta de recuperação de ficheiros integrada no Windows para restaurar os seus ficheiros a partir de Shadow Copies (um sistema de cópia de segurança). Pode não funcionar a 100% do tempo, mas vale definitivamente a pena tentar! Pode encontrar esta ferramenta em "System Restore" no seu Painel de Controlo (procure por "System Restore" se não a vir de imediato).

Ferramentas que pode utilizar para prevenir ataques de BlackCat Ransomware:

1. A boa notícia é que existe uma tecnologia emergente que o pode ajudar a proteger o seu negócio do BlackCat ransomware: DMARC.

A Política DMARC permite que os remetentes de correio electrónico digam aos servidores receptores se as mensagens de correio electrónico são legítimas ou não. Isto significa que se um atacante tentar enviar um e-mail de phishing com código malicioso anexado, o servidor do destinatário saberá que este não vem do proprietário legítimo do domínio e poderá rejeitá-lo antes que qualquer dano seja feito.

Obtenha o seu gratuitamente Analisador DMARC hoje.

2. A autenticação multi-factor (AMF) é uma forma de manter os hackers fora das suas contas, ao mesmo tempo que lhe permite aceder livremente a elas. Ao utilizar duas ou mais informações para verificar a sua identidade, é muito mais difícil para alguém que tenha roubado a sua senha ou outras informações de identificação entrar na sua conta sem ser detectado pela AMF.

3. Os firewalls podem proteger contra muitos ataques de resgate de BlackCat. Um firewall é um software que funciona com o seu sistema operativo para bloquear o acesso não autorizado ao seu computador, o que inclui o acesso por código malicioso como o ransomware. A maioria dos sistemas operativos inclui firewalls, mas se não tiver um ou quiser uma camada extra de protecção, existem muitas opções livres - e muitas são fáceis de instalar.

Últimos posts de Ahona Rudra (ver todos)