BlackByte e KILLSEC fazem campanha contra indústria e finanças do Brasil, alerta estudo

A ISH Tecnologia alerta para recentes campanhas dos grupos de ransomware KILLSEC e BlackByte que miram empresas do Brasil. De acordo com o levantamento, os setores de financeiro, manufatura, consultoria e tecnologia são os principais alvos.

Em comum, os grupos utilizam táticas sofisticadas de exfiltração de dados e criptografia rápida, pressionando as vítimas a pagarem resgates em criptomoedas. Ambos exploram vulnerabilidades em sistemas e adotam métodos de reconhecimento avançados para identificar alvos vulneráveis.

KILLSEC: Abordagem agressiva e sofisticada

O grupo KILLSEC, ativo desde 2024, adota uma abordagem agressiva. Eles utilizam ferramentas de OSINT (inteligência de fonte aberta) para identificar alvos vulneráveis, principalmente no setor financeiro e de saúde. Após infecções iniciais por emails de phishing e exploração de vulnerabilidades em servidores e aplicações web, os dados são rapidamente criptografados, com prazos curtos para pagamento em criptomoedas.

Métodos de ataque

Reconhecimento: Utilizam OSINT para mapear alvos potenciais, explorando redes sociais e outras fontes públicas; 

Acesso Inicial: Realizam ataques de phishing e exploram vulnerabilidades em sistemas de gerenciamento de conteúdo e controle remoto;

Persistência: Implementam comandos para limpar rastros e garantir acesso contínuo, mesmo após tentativas de correção; 

Criptografia Rápida: Os dados são criptografados rapidamente, com prazos curtos para pagamento, aumentando a pressão sobre as vítimas.

BlackByte: Ataques a setores críticos

Supostamente de origem russa, o BlackByte concentra seus ataques em setores de manufatura, consultoria e tecnologia. Utilizando vulnerabilidades conhecidas como ProxyShell em servidores Microsoft Exchange, e ferramentas personalizadas como o ExByte, o grupo exfiltra dados sensíveis. Eles também exploram credenciais comprometidas e afetam máquinas virtuais para comprometer ambientes de infraestrutura.

Métodos de ataque

Exploração de Vulnerabilidades: Utilizam falhas como CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207 para execução remota de códigos; 

Exfiltração de Dados: Usam ferramentas como o ExByte para coletar e enviar informações sensíveis para plataformas de compartilhamento; 

Credenciais Comprometidas: Compram credenciais em mercados ilegais ou realizam ataques de força bruta; 

Movimentação Lateral: Utilizam ferramentas como NetScan e AnyDesk para mapear e acessar a infraestrutura da vítima; 

Desativação de Segurança: Encerram processos relacionados a aplicativos de segurança para evitar a detecção.

Impactos e prevenção

Os ataques desses grupos destacam a importância da segurança cibernética. Ambos não apenas criptografam dados, mas também exfiltram e ameaçam divulgar informações sensíveis para aumentar a pressão pelo pagamento.

Recomendações da ISH Tecnologia:

Backups Regulares: Realizar backups frequentes e testar sua integridade;

Correções de Segurança: Aplicar patches críticos e manter sistemas atualizados;

Segurança de Rede: Implementar segmentação de rede e controles de acesso; 

Monitoramento: Investir em soluções de monitoramento de rede e análise de comportamentos suspeitos; 

Filtragem de E-mail: Configurar filtros para bloquear anexos e links suspeitos; 

Planos de Recuperação: Desenvolver e testar planos de recuperação e continuidade dos negócios.

FONTE: Security Leaders