BlackByte e KILLSEC fazem campanha contra indústria e finanças do Brasil, alerta estudo

Ataques cibernéticos visam setores diversos da economia nacional, destacando a urgência de medidas de segurança robustas

Compartilhar:

A ISH Tecnologia alerta para recentes campanhas dos grupos de ransomware KILLSEC e BlackByte que miram empresas do Brasil. De acordo com o levantamento, os setores de financeiro, manufatura, consultoria e tecnologia são os principais alvos.

 

Em comum, os grupos utilizam táticas sofisticadas de exfiltração de dados e criptografia rápida, pressionando as vítimas a pagarem resgates em criptomoedas. Ambos exploram vulnerabilidades em sistemas e adotam métodos de reconhecimento avançados para identificar alvos vulneráveis.

 

KILLSEC: Abordagem agressiva e sofisticada

O grupo KILLSEC, ativo desde 2024, adota uma abordagem agressiva. Eles utilizam ferramentas de OSINT (inteligência de fonte aberta) para identificar alvos vulneráveis, principalmente no setor financeiro e de saúde. Após infecções iniciais por emails de phishing e exploração de vulnerabilidades em servidores e aplicações web, os dados são rapidamente criptografados, com prazos curtos para pagamento em criptomoedas.

 

Métodos de ataque

Reconhecimento: Utilizam OSINT para mapear alvos potenciais, explorando redes sociais e outras fontes públicas.

Acesso Inicial: Realizam ataques de phishing e exploram vulnerabilidades em sistemas de gerenciamento de conteúdo e controle remoto.

Persistência: Implementam comandos para limpar rastros e garantir acesso contínuo, mesmo após tentativas de correção.

Criptografia Rápida: Os dados são criptografados rapidamente, com prazos curtos para pagamento, aumentando a pressão sobre as vítimas.

 

BlackByte: Ataques a setores críticos

Supostamente de origem russa, o BlackByte concentra seus ataques em setores de manufatura, consultoria e tecnologia. Utilizando vulnerabilidades conhecidas como ProxyShell em servidores Microsoft Exchange, e ferramentas personalizadas como o ExByte, o grupo exfiltra dados sensíveis. Eles também exploram credenciais comprometidas e afetam máquinas virtuais para comprometer ambientes de infraestrutura.

 

Métodos de ataque

Exploração de Vulnerabilidades: Utilizam falhas como CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207 para execução remota de códigos.

Exfiltração de Dados: Usam ferramentas como o ExByte para coletar e enviar informações sensíveis para plataformas de compartilhamento.

Credenciais Comprometidas: Compram credenciais em mercados ilegais ou realizam ataques de força bruta.

Movimentação Lateral: Utilizam ferramentas como NetScan e AnyDesk para mapear e acessar a infraestrutura da vítima.

Desativação de Segurança: Encerram processos relacionados a aplicativos de segurança para evitar a detecção.

 

Impactos e prevenção

Os ataques desses grupos destacam a importância da segurança cibernética. Ambos não apenas criptografam dados, mas também exfiltram e ameaçam divulgar informações sensíveis para aumentar a pressão pelo pagamento.

 

Recomendações da ISH Tecnologia:

Backups Regulares: Realizar backups frequentes e testar sua integridade.

Correções de Segurança: Aplicar patches críticos e manter sistemas atualizados.

Segurança de Rede: Implementar segmentação de rede e controles de acesso.

Monitoramento: Investir em soluções de monitoramento de rede e análise de comportamentos suspeitos.

Filtragem de E-mail: Configurar filtros para bloquear anexos e links suspeitos.

Planos de Recuperação: Desenvolver e testar planos de recuperação e continuidade dos negócios.

 

Conteúdos Relacionados

Security Report | Overview

Estudo aponta que um em cada cinco usuários de apps de namoro foi alvo do cibercrime

Nova pesquisa da Norton mostra que 21% das pessoas no Brasil, que atualmente usam aplicativos de namoro, dizem que já...
Security Report | Overview

Programa de roubo de criptomoedas está disponível em lojas de apps, alerta pesquisa

O trojan SparkCat já foi baixado mais de 242 mil vezes apenas no Google Play. O malware é propagado tanto...
Security Report | Overview

Sophos conclui aquisição da Secureworks

Empresa passa a ser a principal fornecedora de serviços de MDR de segurança cibernética Pure-Play
Security Report | Overview

Cibercrime ameaça mais de meio milhão de Smart TVs globalmente, alerta estudo

ISH Tecnologia explica como expansão dos dispositivos IoT abriu porta de entrada silenciosa para golpes – expectativa é que número...