Notícias de dispositivos móveis, gadgets, aplicativos Android

BlackCat Ransomware aproveitando ferramentas de monitoramento remoto para criptografar o armazenamento do Azure

A variante Sphynx do BlackCat Ransomware foi recentemente identificada com recursos adicionais usados ‚Äč‚Äčpara criptografar contas de armazenamento do Azure. Esta variante Sphynx do BlackCat foi descoberta pela primeira vez em mar√ßo e atualizada em maio, adicionando a ferramenta de exfiltra√ß√£o Exmatter.

Outra versão do Sphynx foi lançada em agosto, incluindo novos argumentos de linha de comando que podem substituir as credenciais dentro dos arquivos de configuração obtidos de sistemas comprometidos.

A Microsoft publicou um post em agosto que mencionava a inclusão do Impacket (para despejo de credenciais e execução remota de serviços) e das ferramentas Remcom. Além disso, também consistia em algumas credenciais comprometidas que são usadas para movimentação lateral e posterior implantação de ransomware.

‚ÄúEsta vers√£o do BlackCat tamb√©m possui o hacktool Remcom incorporado no execut√°vel para execu√ß√£o remota de c√≥digo. O arquivo tamb√©m cont√©m credenciais de alvo comprometidas codificadas que os atores usam para movimenta√ß√£o lateral e posterior implanta√ß√£o de ransomware.‚ÄĚ l√™ o t√≥pico da Microsoft sobre Twitter.

Agentes de ameaças acessam o portal do Azure

Os atores da amea√ßa poderiam roubar chaves do Azure acessando o portal do Azure do cliente. Essas chaves foram ent√£o codificadas em base64 e incorporadas ao bin√°rio do ransomware com execu√ß√Ķes de linha de comando.

Um argumento -o foi incluído nos argumentos da linha de comando, que tem como alvo um nome de conta de armazenamento do Azure e uma chave de acesso; esse binário foi executado diversas vezes com 39 contas exclusivas do Armazenamento do Azure, resultando na criptografia delas com ransomware.

N√≥s recomendamos:  14 melhores atalhos de teclado do Mac para acelerar as coisas

Documento

Durante esta operação, os agentes da ameaça usaram ferramentas como AnyDesk, SplashTop e Atera combinadas com o navegador Chrome para acessar a extensão do navegador do cofre LastPass. Além disso, os cibercriminosos também obtiveram OTP para acessar a conta Sophos Central para gerenciar outros produtos Sophos.

Após uma investigação mais aprofundada, descobriu-se que os agentes da ameaça alteraram as políticas de segurança e a proteção contra adulteração antes de criptografar os sistemas e as contas de armazenamento do Azure com IzBEIHCMxAuKmis6.exe com a extensão .zk09cvt.

Mudança notável

Denotando as mudan√ßas mencionadas pela IBM, esta variante Sphynx do BlackCat n√£o inclui o par√Ęmetro -access-token, mas agora usa chaves como ‘-8UwUubTNYzygbQPJF -x_ -NI3_zn6Jr -U8Z -hedu5PO -CBJC7jzy -HFVmgW -DK3rdo’ e inclui um conjunto de argumentos mais complexos.

A Sophos fornece informação detalhada sobre o funcionamento, código fonte e indicadores de comprometimento desta variante do BlackCat.

√Č altamente recomend√°vel que as organiza√ß√Ķes implementem e cumpram as precau√ß√Ķes e medidas necess√°rias para prevenir e combater eficazmente a ocorr√™ncia de ataques de ransomware. Tais medidas proactivas e vigilantes podem reduzir significativamente o risco de consequ√™ncias devastadoras que podem resultar destes ataques maliciosos.

Mantenha-se informado sobre as √ļltimas not√≠cias sobre seguran√ßa cibern√©tica seguindo-nos no not√≠cias do Google, Linkedin, Twittere Facebook.

Table of Contents