A ISH Tecnologia alerta para um ransomware que segue em operação desde 2021 com um dos sequestradores de dados e de criptografia mais sofisticados do mundo. Trata-se do ransomware AlphV, que se caracteriza por ser coordenado por agentes criminosos e possuir a capacidade de ser configurável de acordo com o ambiente da organização, além de criptografar os sistemas dos dispositivos, informações e dados. O AlphV realiza o roubo de dados para posteriormente publicá-los em seu site de vazamento de dados na Dark Web com o intuito de realizar mais uma extorsão, além dos arquivos já criptografados.
O AlphV, que ficou popularmente conhecido como Blackcat, por conta do seu ícone ser um gato preto com uma faca ensanguentada, começou a ser combatido justamente por ser um ransomware que se demonstrou o mais complexo de se enfrentar entre os outros da época. Porém, com o passar do tempo, o grupo de Ransomware passou a criar diversos tipos de variantes para ataques as organizações. O malware passou assim a ter três modos de operação, todos com o mesmo objetivo: conseguir aplicar uma chantagem no detentor do domínio invadido, seja por meio de criptografia dos arquivos, venda de dados, publicação dos dados exfiltrados.
O ataque, apesar de ter diferentes maneiras de execução, tem sempre o objetivo de infectar outros dispositivos que estejam na rede da organização, ou seja, atacam as credenciais de domínio e criptografam os outros dispositivos conectados a essa mesma infraestrutura.
Após os ataques, o malware foca em localizar e prejudicar todos as opções de backup disponíveis, fazendo com que a empresa fique refém do ataque e tenha que pagar aos hackers o resgate de seu domínio e informações. Exemplificando: Como ponto inicial, o Blackcat consegue acesso através de apps que contenham vulnerabilidades como Microsoft Office, Microsoft Exchange, clientes de e-mails, banco de dados das empresas e os sequestra, criptografando tudo que encontra. Então ele se comunica com a empresa pela própria máquina e diz que os dados só serão liberados mediante pagamento de resgate que variam de acordo com a receita da companhia.
“Mas uma pessoa da minha empresa precisa fazer exatamente o que para deixar o sistema vulnerável para ao Blackcat?” Caique Barqueta, Analista de Malware da ISH diz que a infecção desse malware é até muito simples para ser tão sofisticado. O ataque ocorre por meio de anexos de e-mail, vulnerabilidades de serviços ou aplicativos, anúncios maliciosos e websites de com foco em download de arquivos “piratas”. Assim que se clica em um desses links,a infraestrutura da empresa pode estar sendo palco de ataque pelo AlphV.
Mesmo que a recuperação dos domínios seja complicada uma vez que a invasão do Blackcat for executada, há algumas maneiras de se proteger do ataque antes que seja necessário remediar um problema maior. Algumas das medidas que podem ser tomadas para se defender dos ataques são a realização de backups regulares, atualizações constantes de softwares, a utilização de antivírus e firewalls, ensinar os colaboradores da instituição a se protegerem de phishing e não clicarem em links maliciosos, monitoração da sua rede operacional para caso esteja tendo alguma movimentação suspeita, responder a ela rapidamente e a criação e aplicação de resposta de incidentes, para caso o ransomware aja no núcleo, tenham informações programadas sobre realizações de backup e recuperação de informações do sistema.
