BlackByte e KILLSEC fazem campanha contra indústria e finanças do Brasil, alerta estudo

Ataques cibernéticos visam setores diversos da economia nacional, destacando a urgência de medidas de segurança robustas

Compartilhar:

A ISH Tecnologia alerta para recentes campanhas dos grupos de ransomware KILLSEC e BlackByte que miram empresas do Brasil. De acordo com o levantamento, os setores de financeiro, manufatura, consultoria e tecnologia são os principais alvos.

 

Em comum, os grupos utilizam táticas sofisticadas de exfiltração de dados e criptografia rápida, pressionando as vítimas a pagarem resgates em criptomoedas. Ambos exploram vulnerabilidades em sistemas e adotam métodos de reconhecimento avançados para identificar alvos vulneráveis.

 

KILLSEC: Abordagem agressiva e sofisticada

O grupo KILLSEC, ativo desde 2024, adota uma abordagem agressiva. Eles utilizam ferramentas de OSINT (inteligência de fonte aberta) para identificar alvos vulneráveis, principalmente no setor financeiro e de saúde. Após infecções iniciais por emails de phishing e exploração de vulnerabilidades em servidores e aplicações web, os dados são rapidamente criptografados, com prazos curtos para pagamento em criptomoedas.

 

Métodos de ataque

Reconhecimento: Utilizam OSINT para mapear alvos potenciais, explorando redes sociais e outras fontes públicas.

Acesso Inicial: Realizam ataques de phishing e exploram vulnerabilidades em sistemas de gerenciamento de conteúdo e controle remoto.

Persistência: Implementam comandos para limpar rastros e garantir acesso contínuo, mesmo após tentativas de correção.

Criptografia Rápida: Os dados são criptografados rapidamente, com prazos curtos para pagamento, aumentando a pressão sobre as vítimas.

 

BlackByte: Ataques a setores críticos

Supostamente de origem russa, o BlackByte concentra seus ataques em setores de manufatura, consultoria e tecnologia. Utilizando vulnerabilidades conhecidas como ProxyShell em servidores Microsoft Exchange, e ferramentas personalizadas como o ExByte, o grupo exfiltra dados sensíveis. Eles também exploram credenciais comprometidas e afetam máquinas virtuais para comprometer ambientes de infraestrutura.

 

Métodos de ataque

Exploração de Vulnerabilidades: Utilizam falhas como CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207 para execução remota de códigos.

Exfiltração de Dados: Usam ferramentas como o ExByte para coletar e enviar informações sensíveis para plataformas de compartilhamento.

Credenciais Comprometidas: Compram credenciais em mercados ilegais ou realizam ataques de força bruta.

Movimentação Lateral: Utilizam ferramentas como NetScan e AnyDesk para mapear e acessar a infraestrutura da vítima.

Desativação de Segurança: Encerram processos relacionados a aplicativos de segurança para evitar a detecção.

 

Impactos e prevenção

Os ataques desses grupos destacam a importância da segurança cibernética. Ambos não apenas criptografam dados, mas também exfiltram e ameaçam divulgar informações sensíveis para aumentar a pressão pelo pagamento.

 

Recomendações da ISH Tecnologia:

Backups Regulares: Realizar backups frequentes e testar sua integridade.

Correções de Segurança: Aplicar patches críticos e manter sistemas atualizados.

Segurança de Rede: Implementar segmentação de rede e controles de acesso.

Monitoramento: Investir em soluções de monitoramento de rede e análise de comportamentos suspeitos.

Filtragem de E-mail: Configurar filtros para bloquear anexos e links suspeitos.

Planos de Recuperação: Desenvolver e testar planos de recuperação e continuidade dos negócios.

 

Conteúdos Relacionados

Security Report | Overview

Conectividade do programa Goiás de Fibra contará com infraestrutura própria de Segurança

Projeto envolve a instalação de mais de 10 mil quilômetros de fibra óptica e contará com a tecnologia de segurança...
Security Report | Overview

Trabalho híbrido deve demandar novas estratégias de acesso, indica análise

A Check Point Software observa que muitas infraestruturas de VPN, atualmente, já operam em média com 85% da capacidade, especialmente...
Security Report | Overview

Holambra Agroindustrial aumenta precisão da Segurança por meio de parceria

Uso de firewalls as a service SonicWall e da solução de proteção de endpoints SonicWall Capture Client facilitou padronização da...
Security Report | Overview

10% dos ambientes de cloud pública arquivam dados confidenciais

Relatório destaca a necessidade urgente de gerenciamento unificado de exposição à nuvem para conter vazamento de informações e reduzir risco...