A ISH Tecnologia alerta para recentes campanhas dos grupos de ransomware KILLSEC e BlackByte que miram empresas do Brasil. De acordo com o levantamento, os setores de financeiro, manufatura, consultoria e tecnologia são os principais alvos.
Em comum, os grupos utilizam táticas sofisticadas de exfiltração de dados e criptografia rápida, pressionando as vítimas a pagarem resgates em criptomoedas. Ambos exploram vulnerabilidades em sistemas e adotam métodos de reconhecimento avançados para identificar alvos vulneráveis.
KILLSEC: Abordagem agressiva e sofisticada
O grupo KILLSEC, ativo desde 2024, adota uma abordagem agressiva. Eles utilizam ferramentas de OSINT (inteligência de fonte aberta) para identificar alvos vulneráveis, principalmente no setor financeiro e de saúde. Após infecções iniciais por emails de phishing e exploração de vulnerabilidades em servidores e aplicações web, os dados são rapidamente criptografados, com prazos curtos para pagamento em criptomoedas.
Métodos de ataque
Reconhecimento: Utilizam OSINT para mapear alvos potenciais, explorando redes sociais e outras fontes públicas.
Acesso Inicial: Realizam ataques de phishing e exploram vulnerabilidades em sistemas de gerenciamento de conteúdo e controle remoto.
Persistência: Implementam comandos para limpar rastros e garantir acesso contínuo, mesmo após tentativas de correção.
Criptografia Rápida: Os dados são criptografados rapidamente, com prazos curtos para pagamento, aumentando a pressão sobre as vítimas.
BlackByte: Ataques a setores críticos
Supostamente de origem russa, o BlackByte concentra seus ataques em setores de manufatura, consultoria e tecnologia. Utilizando vulnerabilidades conhecidas como ProxyShell em servidores Microsoft Exchange, e ferramentas personalizadas como o ExByte, o grupo exfiltra dados sensíveis. Eles também exploram credenciais comprometidas e afetam máquinas virtuais para comprometer ambientes de infraestrutura.
Métodos de ataque
Exploração de Vulnerabilidades: Utilizam falhas como CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207 para execução remota de códigos.
Exfiltração de Dados: Usam ferramentas como o ExByte para coletar e enviar informações sensíveis para plataformas de compartilhamento.
Credenciais Comprometidas: Compram credenciais em mercados ilegais ou realizam ataques de força bruta.
Movimentação Lateral: Utilizam ferramentas como NetScan e AnyDesk para mapear e acessar a infraestrutura da vítima.
Desativação de Segurança: Encerram processos relacionados a aplicativos de segurança para evitar a detecção.
Impactos e prevenção
Os ataques desses grupos destacam a importância da segurança cibernética. Ambos não apenas criptografam dados, mas também exfiltram e ameaçam divulgar informações sensíveis para aumentar a pressão pelo pagamento.
Recomendações da ISH Tecnologia:
Backups Regulares: Realizar backups frequentes e testar sua integridade.
Correções de Segurança: Aplicar patches críticos e manter sistemas atualizados.
Segurança de Rede: Implementar segmentação de rede e controles de acesso.
Monitoramento: Investir em soluções de monitoramento de rede e análise de comportamentos suspeitos.
Filtragem de E-mail: Configurar filtros para bloquear anexos e links suspeitos.
Planos de Recuperação: Desenvolver e testar planos de recuperação e continuidade dos negócios.
