{"id":53751,"date":"2022-11-17T08:25:49","date_gmt":"2022-11-17T11:25:49","guid":{"rendered":"https:\/\/abes.org.br\/?p=53751"},"modified":"2022-11-11T18:46:26","modified_gmt":"2022-11-11T21:46:26","slug":"novo-ransomware-desabilita-sistemas-de-seguranca","status":"publish","type":"post","link":"https:\/\/abes.org.br\/en\/novo-ransomware-desabilita-sistemas-de-seguranca\/","title":{"rendered":"New ransomware disables security systems"},"content":{"rendered":"

Black Basta, provavelmente vinculado ao grupo FIN7, instala ferramentas\u00a0<\/em><\/u><\/u>personalizadas de evas\u00e3o de EDR – Endpoint Detection and Response, implanta scripts e apaga seus rastros<\/em><\/p>\n

CLM, distribuidor latino-americano de valor agregado com foco em seguran\u00e7a da informa\u00e7\u00e3o, prote\u00e7\u00e3o de dados, infraestrutura para data centers e cloud, alerta para novos ataques de ransomware que usam ferramentas personalizadas de evas\u00e3o de EDR \u2013 Endpoint Detection and Response. Trata-se do ransomware Black Basta, que vem usando t\u00e9cnicas, at\u00e9 ent\u00e3o desconhecidas, capazes de desabilitar sistemas de seguran\u00e7a como o Windows Defender, obter acesso privilegiado e se camuflar no sistema.<\/u><\/u>\u00a0<\/u><\/u><\/p>\n

A descoberta foi feita pelos pesquisadores do Sentinel Labs, laborat\u00f3rio de pesquisas sobre crimes digitais da SentinelOne, cuja solu\u00e7\u00e3o de prote\u00e7\u00e3o contra Ransomware\u00a0e outros malwares \u00e9 baseada em intelig\u00eancia artificial.\u00a0<\/u><\/u>\u00a0<\/u><\/u><\/p>\n

O CEO da CLM, Francisco Camargo, explica que os pesquisadores do Sentinel Labs descreveram as t\u00e1ticas, t\u00e9cnicas e procedimentos operacionais do Black Basta, em um relat\u00f3rio detalhado que mostra a seriedade dos estudos divulgados em espa\u00e7o aberto. \u201cNa an\u00e1lise os pesquisadores descobriram que o Black Basta instala ferramentas personalizadas, seus ataques usam uma vers\u00e3o camuflada do\u00a0ADFind<\/strong>\u00a0e exploram as vulnerabilidades\u00a0PrintNightmare<\/strong>,\u00a0ZeroLogon<\/strong>\u00a0e\u00a0NoPac<\/strong>\u00a0para escalonamento de privil\u00e9gios\u201d.<\/u><\/u>\u00a0<\/u><\/u><\/p>\n

Al\u00e9m disso, continua o executivo, os cibercriminosos iniciam suas ofensivas com um\u00a0Qakbot<\/strong>, entregue por e-mail e documentos do MS Office, que contenham macros,\u00a0droppers ISO+LNK<\/strong>\u00a0e documentos .docx que exploram a vulnerabilidade de execu\u00e7\u00e3o remota de c\u00f3digo\u00a0MSDTC<\/strong>,\u00a0CVE-2022-30190<\/strong>. \u201cDepois de usar meticulosas t\u00e9cnicas de invas\u00e3o, inclusive se tornando o administrador do sistema com uma senha pr\u00f3pria, eles cobrem seus rastros\u201d, descreve Camargo.<\/u><\/u>\u00a0<\/u><\/u><\/p>\n

Black Basta mant\u00e9m e implanta ferramentas personalizadas<\/strong><\/u><\/u>\u00a0<\/strong><\/u><\/u><\/p>\n

Em seu relat\u00f3rio, o Sentinel Labs explica que o Black Basta usa diversos m\u00e9todos para movimento lateral, implantando diferentes scripts, em lote, por meio de\u00a0Psexec<\/strong>\u00a0em diferentes m\u00e1quinas para automatizar o encerramento de processos e servi\u00e7os e prejudicar as defesas. O ransomware tamb\u00e9m foi implantado em v\u00e1rias m\u00e1quinas via\u00a0psexec<\/strong>.<\/u><\/u>\u00a0<\/u><\/u><\/p>\n

Nos incidentes mais recentes do Black Basta, o Sentinel Labs observou um arquivo em lote chamado\u00a0SERVI.bat<\/strong>\u00a0implantado por meio do\u00a0psexec<\/strong>\u00a0em todos os terminais da infraestrutura de destino. Esse script, instalado pelo invasor, tem o objetivo de eliminar servi\u00e7os e processos para maximizar o impacto do ransomware, excluir as c\u00f3pias\u00a0shadow<\/strong>\u00a0e eliminar determinadas solu\u00e7\u00f5es de seguran\u00e7a.<\/u><\/u>\u00a0<\/u><\/u><\/p>\n

O ransomware Black Basta surgiu em abril de 2022 e invadiu mais de 90 organiza\u00e7\u00f5es at\u00e9 setembro de 2022. A rapidez e o volume de ataques provam que os atores por tr\u00e1s do Black Basta s\u00e3o bem organizados e com bons recursos. Segundo os pesquisadores do Sentinel Labs, ainda n\u00e3o houve indica\u00e7\u00f5es de que o Black Basta esteja recrutando afiliados ou se anunciando como\u00a0RaaS \u2013 Ransomware as a Service<\/strong>\u00a0\u2013 nos f\u00f3runs da\u00a0darknet<\/strong>\u00a0ou mercados de crimeware.<\/u><\/u>\u00a0<\/u><\/u><\/p>\n

Isso tem levado a muita especula\u00e7\u00e3o sobre a origem, identidade e opera\u00e7\u00e3o do grupo.<\/u><\/u>\u00a0<\/u><\/u><\/p>\n

A pesquisa indica que os indiv\u00edduos por tr\u00e1s do ransomware Black Basta desenvolvem e mant\u00eam seu pr\u00f3prio kit de ferramentas e excluem afiliados ou apenas colaboram com um conjunto limitado e confi\u00e1vel (para eles) de afiliados, de maneira semelhante a outros grupos de ransomware ‘privados’, como\u00a0Conti<\/strong>,\u00a0TA505<\/strong>\u00a0e\u00a0Evilcorp<\/strong>.<\/u><\/u>\u00a0<\/u><\/u><\/p>\n

Velhos conhecidos por tr\u00e1s do novo ransomware<\/strong><\/u><\/u>\u00a0<\/strong><\/u><\/u><\/p>\n

O SentinelLabs avalia que \u00e9 prov\u00e1vel que o desenvolvedor dessas ferramentas de evas\u00e3o de EDR seja ou tenha sido o desenvolvedor do\u00a0FIN7<\/strong>. Segundo os pesquisadores, o ecossistema de crimeware est\u00e1 em constante expans\u00e3o, mudan\u00e7a e evolu\u00e7\u00e3o. O\u00a0FIN7<\/strong>\u00a0(ou\u00a0Carbanak<\/strong>) \u00e9 frequentemente creditado por inovar no espa\u00e7o criminal, levando os ataques contra bancos e sistemas\u00a0PoS<\/strong>\u00a0a novos patamares, muito al\u00e9m dos esquemas de seus pares.<\/u><\/u><\/u>\u00a0<\/u><\/p>\n

\u201c\u00c0 medida que consigamos esclarecer a m\u00e3o por tr\u00e1s da indescrit\u00edvel opera\u00e7\u00e3o de ransomware Black Basta, n\u00e3o ficar\u00edamos surpresos ao encontrar um rosto familiar por tr\u00e1s dessa ambiciosa opera\u00e7\u00e3o. Embora existam muitos rostos novos e amea\u00e7as diversas no espa\u00e7o de ransomware e extors\u00e3o dupla, \u00e9 esperado ver as equipes criminosas profissionais existentes dando seu pr\u00f3prio toque na maximiza\u00e7\u00e3o de lucros il\u00edcitos de novas maneiras\u201d, avaliam.<\/u><\/u>\u00a0<\/u><\/u><\/p>\n

Para mais informa\u00e7\u00f5es, acesse o\u00a0<\/strong>link da pesquisa<\/strong><\/a>\u00a0ou veja<\/strong>\u00a0informa\u00e7\u00f5es bastante detalhadas sobre o modo de opera\u00e7\u00e3o do Black Basta<\/strong><\/u><\/u>\u00a0<\/strong><\/u><\/u><\/p>\n

O Sentinel Labs come\u00e7ou a rastrear as opera\u00e7\u00f5es do Black Basta no in\u00edcio de junho, depois de perceber sobreposi\u00e7\u00f5es entre casos ostensivamente diferentes. Juntamente com outros pesquisadores, o Sentinel Labs observou que as infec\u00e7\u00f5es do Black Basta come\u00e7avam com o\u00a0Qakbot<\/strong>, entregue por meio de phishing por e-mail, bem como por documentos do MS Office que utilizam macros, droppers ISO+LNK e documentos .docx onde pode ser explorada a vulnerabilidade de execu\u00e7\u00e3o remota de c\u00f3digo MSDTC, CVE-2022-30190.<\/u><\/u>\u00a0<\/u><\/u><\/p>\n

Um dos vetores de acesso inicial observado foi um dropper ISO enviado como \u201cReport Jul 14 39337.iso\u201d que explora o sequestro de DLL (Dynamic-link library biblioteca de v\u00ednculo din\u00e2mico da Microsoft), no calc.exe. Uma vez que o usu\u00e1rio clica em \u201cReport Jul 14 39337.lnk<\/strong>\u201d dentro do\u00a0dropper ISO<\/strong>,\u00a0o malware executa o comando\u00a0cmd.exe \/q \/c calc.exe<\/strong>\u00a0que permite o sequestro de DLL dentro do c\u00f3digo\u00a0calc<\/strong>, executando a DLL\u00a0Qakbot<\/strong>,\u00a0WindowsCodecs.dll<\/code>.\u00a0Vale lembrar que \u201cdropper<\/strong>\u201d \u00e9 um tipo de\u00a0trojan<\/strong>\u00a0que baixa um\u00a0malware<\/strong>\u00a0no computador da v\u00edtima.<\/u><\/u>\u00a0<\/u><\/u><\/p>\n

O Qakbot obt\u00e9m uma posi\u00e7\u00e3o persistente no ambiente da v\u00edtima definindo uma tarefa agendada que faz refer\u00eancia a um PowerShell malicioso armazenado no registro, atuando como ouvinte e loader (carregador).<\/u><\/u>\u00a0<\/u><\/u><\/p>\n

O processo\u00a0powershell.exe<\/code>\u00a0continua a se comunicar com diferentes servidores, esperando que um operador criminoso envie um comando para ativar recursos de p\u00f3s-explora\u00e7\u00e3o.<\/u><\/u>\u00a0<\/u><\/u><\/p>\n

Quando o operador se conecta ao backdoor, geralmente horas ou dias ap\u00f3s a infec\u00e7\u00e3o inicial, um novo processo\u00a0explorer.exe<\/strong>\u00a0\u00e9 criado e um processo de esvaziamento \u00e9 executado para ocultar atividades maliciosas por tr\u00e1s do processo leg\u00edtimo. Essa opera\u00e7\u00e3o de inje\u00e7\u00e3o ocorre sempre que um componente do framework Qakbot \u00e9 chamado ou para qualquer processo arbitr\u00e1rio executado manualmente pelo invasor.<\/u><\/u>\u00a0<\/u><\/u><\/p>\n

Introdu\u00e7\u00e3o do operador Black Basta<\/strong><\/u><\/u>\u00a0<\/strong><\/u><\/u><\/p>\n

O reconhecimento manual \u00e9 realizado quando o operador do Black Basta se conecta \u00e0 v\u00edtima por meio do backdoor do Qakbot. Os utilit\u00e1rios de reconhecimento usados pelo operador s\u00e3o armazenados em um diret\u00f3rio com nomes enganosos como \u201cIntel\u201d ou \u201cDell\u201d, criados na unidade raiz\u00a0C:\\<\/code>.<\/u><\/u><\/p>\n

\u00a0<\/u><\/u><\/p>\n

A primeira etapa em um comprometimento do Black Basta geralmente envolve a execu\u00e7\u00e3o de uma vers\u00e3o oculta da ferramenta AdFind, chamada\u00a0AF.exe<\/code>.<\/u><\/u>\u00a0<\/u><\/u><\/p>\n

cmd \/C C:\\intel\\AF.exe -f objectcategory=computer -csv name cn OperatingSystem dNSHostName > C:\\intel\\[REDACTED].csv<\/u><\/u><\/pre>\n
<\/u><\/u><\/p>\n
Esse est\u00e1gio tamb\u00e9m envolve o uso de dois\u00a0assemblies<\/strong>\u00a0.NET<\/strong>\u00a0<\/strong>personalizados, que s\u00e3o carregados na mem\u00f3ria para realizar tarefas de coleta de informa\u00e7\u00f5es. Esses assemblies n\u00e3o est\u00e3o ofuscados e seus principais nomes s\u00e3o, \u201cProcessess<\/strong>\u201d e \u201cGetOnlineComputers<\/strong>\u201d, o que fornece boa pista sobre suas reais fun\u00e7\u00f5es.<\/u><\/u>\u00a0<\/u><\/u><\/p>\n
Os operadores Black Basta foram observados usando as estruturas\u00a0SharpHound<\/strong>\u00a0e\u00a0BloodHound<\/strong>\u00a0para enumera\u00e7\u00e3o do AD (Active Directory) por meio de consultas LDAP.<\/u><\/u>\u00a0<\/u><\/u><\/p>\n
Para instala\u00e7\u00e3o na rede, o Black Basta usa o scanner de rede\u00a0SoftPerfect<\/strong>,\u00a0netscan.exe<\/code>.\u00a0Al\u00e9m disso, o servi\u00e7o\u00a0WMI<\/strong>\u00a0\u00e9 aproveitado para enumerar as solu\u00e7\u00f5es de seguran\u00e7a instaladas.<\/u><\/u>\u00a0<\/u><\/u><\/p>\n
wmic \/namespace:\\\\root\\SecurityCenter2 PATH AntiVirusProduct GET \/value<\/u><\/u><\/pre>\n
wmic \/namespace:\\\\root\\SecurityCenter2 PATH AntiSpywareProduct GET \/value<\/u><\/u><\/pre>\n
wmic \/namespace:\\\\root\\SecurityCenter2 PATH FirewallProduct GET \/value<\/u><\/u><\/pre>\n
\u00a0<\/u><\/u><\/h2>\n
T\u00e9cnicas de escalonamento de privil\u00e9gio Black Basta<\/strong><\/u><\/u>\u00a0<\/strong><\/u><\/u><\/p>\n
Al\u00e9m do est\u00e1gio de reconhecimento, o Black Basta tenta escalar privil\u00e9gios no n\u00edvel local e de dom\u00ednio por meio de uma variedade de explora\u00e7\u00f5es. O Sentinel Labs viu o uso de\u00a0ZeroLogon<\/strong>\u00a0(CVE-2020-1472),\u00a0NoPac<\/strong>\u00a0(CVE-2021-42287, CVE-2021-42278) e\u00a0PrintNightmare<\/strong>\u00a0(CVE-2021-34527).<\/u><\/u>\u00a0<\/u><\/u><\/p>\n
H\u00e1 duas vers\u00f5es do exploit ZeroLogon em uso: uma vers\u00e3o ofuscada, instalada como\u00a0zero22.exe<\/strong>\u00a0e uma vers\u00e3o n\u00e3o ofuscada instalada como\u00a0zero.exe<\/strong>. \u201cEm uma intrus\u00e3o, observamos o operador Black Basta explorando a vulnerabilidade PrintNightmare e descartando o spider.dll como a carga \u00fatil. A DLL cria um novo usu\u00e1rio administrador com nome de usu\u00e1rio \u201cCrackenn<\/strong>\u201d e senha \u2018*aaa111Cracke\u2019\u201d contam os pesquisadores.<\/p>\n
\"\"<\/p>\n
Essa DLL primeiro define o usu\u00e1rio e a senha em uma estrutura (userInfo<\/strong>) e, em seguida, chama a\u00a0API<\/strong>\u00a0NetUserAdd Win<\/strong>\u00a0para criar um usu\u00e1rio com uma senha que nunca expira. Em seguida, esse usu\u00e1rio \u00e9 adicionado ao grupo de “Administradores” e “Usu\u00e1rios da \u00e1rea de trabalho remota”. Depois, o\u00a0spider.dll<\/code>\u00a0cria o processo\u00a0RunTimeListen.exe<\/code>,\u00a0que executa o\u00a0backdoor<\/strong>\u00a0SystemBC<\/strong>\u00a0(tamb\u00e9m conhecido como\u00a0Coroxy<\/strong>), abaixo descrito.<\/u><\/u>\u00a0<\/u><\/u><\/p>\n
Nesse est\u00e1gio, os operadores do Black Basta cobrem seus rastros excluindo o usu\u00e1rio adicionado e a DLL plantada com o exploit PrintNightmare.<\/u><\/u>\u00a0<\/u><\/u><\/p>\n
Ferramentas de administra\u00e7\u00e3o remota<\/strong><\/u><\/u>\u00a0<\/strong><\/u><\/u><\/p>\n
Os operadores Black Basta t\u00eam v\u00e1rias ferramentas\u00a0RAT<\/strong>\u00a0em seu arsenal. O agente da amea\u00e7a foi observado descartando um arquivo de extra\u00e7\u00e3o autom\u00e1tica contendo todos os arquivos necess\u00e1rios para executar o aplicativo\u00a0Netsupport<\/strong>\u00a0Manager<\/strong>, mostrado na pasta\u00a0C:\\temp<\/code>\u00a0com o nome\u00a0Svvhost.exe<\/code>.\u00a0A execu\u00e7\u00e3o do arquivo extrai todos os arquivos de instala\u00e7\u00e3o em:<\/p>\n
\"\"<\/p>\n
O RAT \u00e9 ent\u00e3o executado por meio de um script\u00a0run.bat<\/code>.<\/u><\/u><\/u>\u00a0<\/u><\/p>\n
Em outros casos, os pesquisadores do Sentinel Labs observaram o uso de\u00a0Splashtop<\/strong>,\u00a0GoToAssist<\/strong>,\u00a0Atera<\/strong>\u00a0Agent<\/strong>\u00a0e\u00a0SystemBC<\/strong>, que tem sido usado por diferentes operadores de ransomware como proxy\u00a0SOCKS5 TOR<\/strong>\u00a0para comunica\u00e7\u00f5es, exfiltra\u00e7\u00e3o de dados e download de m\u00f3dulos maliciosos.<\/u><\/u>\u00a0<\/u><\/u><\/p>\n
Movimento Lateral do Black Basta<\/strong><\/u><\/u>\u00a0<\/strong><\/u><\/u><\/p>\n
Como foi dito, o agente Black Basta usa diferentes m\u00e9todos para movimento lateral, implantando diferentes scripts em lote por meio de psexec em v\u00e1rias m\u00e1quinas para automatizar o encerramento de processos e servi\u00e7os e prejudicar as defesas. O ransomware tamb\u00e9m \u00e9\u00a0implantado em diversas m\u00e1quinas via psexec.<\/u><\/u>\u00a0<\/u><\/u><\/p>\n
Nos incidentes mais recentes do Black Basta foi observado que um arquivo em lote chamado\u00a0SERVI.bat<\/code>\u00a0foi implantado por meio do\u00a0psexec<\/code>\u00a0em todos os terminais da infraestrutura de destino. Esse script foi implantado pelo invasor para eliminar servi\u00e7os e processos para maximizar o impacto do ransomware, excluir c\u00f3pias sombra e eliminar determinadas solu\u00e7\u00f5es de seguran\u00e7a.<\/u><\/u>\u00a0<\/u><\/u><\/p>\n
Prejudicar Defesas<\/strong><\/u><\/u>\u00a0<\/strong><\/u><\/u><\/p>\n
Para prejudicar as defesas do host, antes de instalar o payload do locker, o Black Basta tem como alvo solu\u00e7\u00f5es de seguran\u00e7a instaladas com scripts em lote espec\u00edficos baixados no diret\u00f3rio do Windows.<\/u><\/u>\u00a0<\/u><\/u><\/p>\n
Para desabilitar o Windows Defender, os seguintes scripts s\u00e3o executados:<\/u><\/u>\u00a0<\/u><\/u><\/p>\n
\\Windows\\ILUg69ql1.bat<\/u><\/u><\/pre>\n
\\Windows\\ILUg69ql2.bat<\/u><\/u><\/pre>\n
\\Windows\\ILUg69ql3.bat<\/u><\/u><\/pre>\n
<\/u><\/u><\/p>\n
Os scripts em lote encontrados em diferentes intrus\u00f5es parecem ter uma conven\u00e7\u00e3o para a nomenclatura: ILUG69ql seguidos por um d\u00edgito.<\/u><\/u>\u00a0<\/u><\/u><\/p>\n
powershell -ExecutionPolicy Bypass -command \"New-ItemProperty -Path 'HKLM:\\SOFTWARE\\Policies\\Microsoft\\Windows Defender' -Name DisableAntiSpyware -Value 1 -PropertyType DWORD -Force\"<\/u><\/u><\/pre>\n
powershell -ExecutionPolicy Bypass -command \"Set-MpPreference -DisableRealtimeMonitoring 1\"<\/u><\/u><\/pre>\n
powershell -ExecutionPolicy Bypass Uninstall-WindowsFeature -Name Windows-Defender<\/u><\/u><\/pre>\n
<\/u><\/u><\/p>\n
De acordo com a documenta\u00e7\u00e3o oficial, o par\u00e2metro DisableAntiSpyware desabilita o antiv\u00edrus do Windows Defender Antivirus para implantar outra solu\u00e7\u00e3o de seguran\u00e7a. O DisableRealtimeMonitoring \u00e9 usado para desabilitar a prote\u00e7\u00e3o em tempo real e, em seguida, Uninstall-WindowsFeature -Name Windows-Defender para desinstalar o Windows Defender.<\/u><\/u>\u00a0<\/u><\/u><\/p>\n
Black Basta e sua conex\u00e3o com o FIN7<\/strong><\/u><\/u>\u00a0<\/strong><\/u><\/u><\/p>\n
Em v\u00e1rios incidentes do Black Basta, os cibercriminosos usaram uma ferramenta personalizada de defici\u00eancia de defesa. A an\u00e1lise mostrou que esta ferramenta foi usada em incidentes a partir de 3 de junho de 2022 e encontrada exclusivamente em incidentes do Black Basta. Com base nessas evid\u00eancias, o Sentinel Labs avaliou que \u00e9 altamente prov\u00e1vel que essa ferramenta seja espec\u00edfica do arsenal do grupo Black Basta.<\/u><\/u>\u00a0<\/u><\/u><\/p>\n
A investiga\u00e7\u00e3o levou a outra ferramenta personalizada, o\u00a0WindefCheck.exe<\/code>, um execut\u00e1vel compactado com\u00a0UPX<\/strong>. O exemplo descompactado \u00e9 um bin\u00e1rio compilado com o Visual Basic. A principal funcionalidade \u00e9 mostrar uma\u00a0GUI<\/strong>\u00a0de seguran\u00e7a do Windows falsa e um \u00edcone de bandeja com um status de sistema \u201csaud\u00e1vel\u201d, mesmo que o Windows Defender e outras funcionalidades do sistema estejam desabilitadas.<\/u><\/u>\u00a0<\/u><\/u><\/p>\n
A an\u00e1lise da ferramenta levou a outras amostras, uma das quais estava empacotada com um packer desconhecido. Ap\u00f3s a descompacta\u00e7\u00e3o, o Sentinel Labs identificou o backdoor\u00a0BIRDDOG<\/strong>, conectando-se a um servidor C2 no endere\u00e7o IP\u00a045[.]67[.]229[.]148<\/code>.\u00a0BIRDDOG, tamb\u00e9m conhecido como SocksBot, \u00e9 um backdoor que tem sido usado em v\u00e1rias opera\u00e7\u00f5es pelo grupo FIN7.<\/u><\/u>\u00a0<\/u><\/u><\/p>\n
Al\u00e9m disso, observamos que o endere\u00e7o IP\u00a045[.]67[.]229[.]148<\/code>\u00a0est\u00e1 hospedado em \u201cpq.hosting\u201d, o provedor de hospedagem \u00e0 prova de balas escolhido pelo FIN7 quando escolhe suas v\u00edtimas.<\/u><\/u>\u00a0<\/u><\/u><\/p>\n
\u201cDescobrimos mais amostras em reposit\u00f3rios p\u00fablicos de malwares empacotados com o mesmo empacotador, mas compilados cerca de dois meses antes da amostra empacotada do BIRDDOG. Descompactar uma dessas amostras revelou que era um sinalizador\u00a0DNS Cobalt Strike<\/strong>\u00a0conectando-se ao dom\u00ednio \u2018jardinoks.com<\/a>\u2019\u201d, contam os pesquisadores.<\/u><\/u>\u00a0<\/u><\/u><\/p>\n
A compara\u00e7\u00e3o das amostras sugere que o empacotador usado para o backdoor BIRDDOG \u00e9 uma vers\u00e3o atualizada do empacotador usado para o sinalizador DNS Cobalt Strike.<\/u><\/u>\u00a0<\/u><\/u><\/p>\n
Segundo o Sentinel Labs, \u00e9 prov\u00e1vel que o criminoso que desenvolve a ferramenta de comprometimento usada pelo Black Basta seja o mesmo criminoso com acesso ao c\u00f3digo-fonte do empacotador usado nas opera\u00e7\u00f5es do FIN7, estabelecendo assim pela primeira vez uma poss\u00edvel conex\u00e3o entre os dois grupos.<\/u><\/u>\u00a0<\/u><\/u><\/p>\n
O FIN7 \u00e9 um grupo com motiva\u00e7\u00e3o financeira que est\u00e1 ativo desde 2012 executando v\u00e1rias opera\u00e7\u00f5es que atacam v\u00e1rias empresas, de todos os setores. O grupo tamb\u00e9m \u00e9 conhecido como \u201cCarbanak\u201d, o nome do backdoor que eles usam, mas h\u00e1 tamb\u00e9m grupos diferentes que usavam o mesmo malware e que s\u00e3o rastreados de forma diferente.<\/u><\/u>\u00a0<\/u><\/u><\/p>\n
Inicialmente, o FIN7 usava malware POS (Point of Sale) para realizar fraudes financeiras. No entanto, desde 2020 eles mudaram para opera\u00e7\u00f5es de ransomware, filiando-se ao REvil Conti, realizando suas pr\u00f3prias opera\u00e7\u00f5es: primeiro como Darkside e depois renomeado como BlackMatter.<\/u><\/u>\u00a0<\/u><\/u><\/p>\n
Neste ponto, \u00e9 prov\u00e1vel que o FIN7 ou um afiliado tenha come\u00e7ado a escrever ferramentas do zero para desassociar suas novas opera\u00e7\u00f5es das antigas. Com base em sua an\u00e1lise, o Sentinel Labs acredita que a ferramenta personalizada de comprometimento descrita acima \u00e9 uma delas.<\/u><\/u>\u00a0<\/u><\/u><\/p>\n
A colabora\u00e7\u00e3o com outros pesquisadores terceirizados forneceu uma infinidade de dados que apoiam ainda mais a hip\u00f3tese do laborat\u00f3rio da SentinelOne. No in\u00edcio de 2022, o agente da amea\u00e7a (criminoso) parece ter realizado testes de detec\u00e7\u00e3o e simula\u00e7\u00f5es de ataque usando v\u00e1rios m\u00e9todos de entrega para droppers, estruturas Cobalt Strike e Meterpreter C2, bem como ferramentas e plugins personalizados. A atividade simulada foi observada meses depois, durante outros ataques. A an\u00e1lise dessas simula\u00e7\u00f5es tamb\u00e9m forneceu alguns endere\u00e7os IP que o Sentinel Labs acredita serem atribu\u00eddos ao agente da amea\u00e7a.<\/p>\n
 <\/p>\n","protected":false},"excerpt":{"rendered":"
Black Basta, provavelmente vinculado ao grupo FIN7, instala ferramentas\u00a0personalizadas de evas\u00e3o de EDR – Endpoint Detection and Response, implanta scripts e apaga seus rastros CLM, distribuidor latino-americano de valor agregado com foco em seguran\u00e7a da informa\u00e7\u00e3o, prote\u00e7\u00e3o de dados, infraestrutura para data centers e cloud, alerta para novos ataques de ransomware que usam ferramentas personalizadas […]<\/p>\n","protected":false},"author":10,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","footnotes":""},"categories":[39,19],"tags":[1394,621],"class_list":["post-53751","post","type-post","status-publish","format-standard","hentry","category-coluna-4","category-ultimas-noticias","tag-cibercriminosos","tag-malware"],"acf":[],"yoast_head":"\nNovo ransomware desabilita sistemas de seguran\u00e7a - ABES<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/abes.org.br\/en\/novo-ransomware-desabilita-sistemas-de-seguranca\/\" \/>\n<meta property=\"og:locale\" content=\"en_US\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Novo ransomware desabilita sistemas de seguran\u00e7a - ABES\" \/>\n<meta property=\"og:description\" content=\"Black Basta, provavelmente vinculado ao grupo FIN7, instala ferramentas\u00a0personalizadas de evas\u00e3o de EDR – Endpoint Detection and Response, implanta scripts e apaga seus rastros CLM, distribuidor latino-americano de valor agregado com foco em seguran\u00e7a da informa\u00e7\u00e3o, prote\u00e7\u00e3o de dados, infraestrutura para data centers e cloud, alerta para novos ataques de ransomware que usam ferramentas personalizadas […]\" \/>\n<meta property=\"og:url\" content=\"https:\/\/abes.org.br\/en\/novo-ransomware-desabilita-sistemas-de-seguranca\/\" \/>\n<meta property=\"og:site_name\" content=\"ABES\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/ABES.software\" \/>\n<meta property=\"article:published_time\" content=\"2022-11-17T11:25:49+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/abes.org.br\/wp-content\/uploads\/2022\/11\/unnamed-3.png\" \/>\n<meta name=\"author\" content=\"Editor ABES\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:creator\" content=\"@ABES_SOFTWARE\" \/>\n<meta name=\"twitter:site\" content=\"@ABES_SOFTWARE\" \/>\n<meta name=\"twitter:label1\" content=\"Written by\" \/>\n\t<meta name=\"twitter:data1\" content=\"Editor ABES\" \/>\n\t<meta name=\"twitter:label2\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data2\" content=\"13 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\\\/\\\/abes.org.br\\\/novo-ransomware-desabilita-sistemas-de-seguranca\\\/#article\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/abes.org.br\\\/novo-ransomware-desabilita-sistemas-de-seguranca\\\/\"},\"author\":{\"name\":\"Editor ABES\",\"@id\":\"https:\\\/\\\/abes.org.br\\\/#\\\/schema\\\/person\\\/d65ed84c8883a123fe668129fd6a7ed3\"},\"headline\":\"Novo ransomware desabilita sistemas de seguran\u00e7a\",\"datePublished\":\"2022-11-17T11:25:49+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\\\/\\\/abes.org.br\\\/novo-ransomware-desabilita-sistemas-de-seguranca\\\/\"},\"wordCount\":2418,\"publisher\":{\"@id\":\"https:\\\/\\\/abes.org.br\\\/#organization\"},\"image\":{\"@id\":\"https:\\\/\\\/abes.org.br\\\/novo-ransomware-desabilita-sistemas-de-seguranca\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/abes.org.br\\\/wp-content\\\/uploads\\\/2022\\\/11\\\/unnamed-3.png\",\"keywords\":[\"cibercriminosos\",\"Malware\"],\"articleSection\":[\"-Coluna 4\",\"\u00daltimas not\u00edcias\"],\"inLanguage\":\"en-US\"},{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/abes.org.br\\\/novo-ransomware-desabilita-sistemas-de-seguranca\\\/\",\"url\":\"https:\\\/\\\/abes.org.br\\\/novo-ransomware-desabilita-sistemas-de-seguranca\\\/\",\"name\":\"Novo ransomware desabilita sistemas de seguran\u00e7a - ABES\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/abes.org.br\\\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\\\/\\\/abes.org.br\\\/novo-ransomware-desabilita-sistemas-de-seguranca\\\/#primaryimage\"},\"image\":{\"@id\":\"https:\\\/\\\/abes.org.br\\\/novo-ransomware-desabilita-sistemas-de-seguranca\\\/#primaryimage\"},\"thumbnailUrl\":\"https:\\\/\\\/abes.org.br\\\/wp-content\\\/uploads\\\/2022\\\/11\\\/unnamed-3.png\",\"datePublished\":\"2022-11-17T11:25:49+00:00\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/abes.org.br\\\/novo-ransomware-desabilita-sistemas-de-seguranca\\\/#breadcrumb\"},\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/abes.org.br\\\/novo-ransomware-desabilita-sistemas-de-seguranca\\\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\\\/\\\/abes.org.br\\\/novo-ransomware-desabilita-sistemas-de-seguranca\\\/#primaryimage\",\"url\":\"https:\\\/\\\/abes.org.br\\\/wp-content\\\/uploads\\\/2022\\\/11\\\/unnamed-3.png\",\"contentUrl\":\"https:\\\/\\\/abes.org.br\\\/wp-content\\\/uploads\\\/2022\\\/11\\\/unnamed-3.png\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/abes.org.br\\\/novo-ransomware-desabilita-sistemas-de-seguranca\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"In\u00edcio\",\"item\":\"https:\\\/\\\/abes.org.br\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Novo ransomware desabilita sistemas de seguran\u00e7a\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/abes.org.br\\\/#website\",\"url\":\"https:\\\/\\\/abes.org.br\\\/\",\"name\":\"ABES\",\"description\":\"Associa\u00e7\u00e3o Brasileira das Empresas de Software\",\"publisher\":{\"@id\":\"https:\\\/\\\/abes.org.br\\\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/abes.org.br\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"en-US\"},{\"@type\":\"Organization\",\"@id\":\"https:\\\/\\\/abes.org.br\\\/#organization\",\"name\":\"Associa\u00e7\u00e3o Brasileira das Empresas de Software\",\"url\":\"https:\\\/\\\/abes.org.br\\\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\\\/\\\/abes.org.br\\\/#\\\/schema\\\/logo\\\/image\\\/\",\"url\":\"https:\\\/\\\/abes.org.br\\\/wp-content\\\/uploads\\\/2020\\\/09\\\/logo_abes_marca_d_tagline_horizontal_verde-amarelo_cmyk.png\",\"contentUrl\":\"https:\\\/\\\/abes.org.br\\\/wp-content\\\/uploads\\\/2020\\\/09\\\/logo_abes_marca_d_tagline_horizontal_verde-amarelo_cmyk.png\",\"width\":324,\"height\":70,\"caption\":\"Associa\u00e7\u00e3o Brasileira das Empresas de Software\"},\"image\":{\"@id\":\"https:\\\/\\\/abes.org.br\\\/#\\\/schema\\\/logo\\\/image\\\/\"},\"sameAs\":[\"https:\\\/\\\/www.facebook.com\\\/ABES.software\",\"https:\\\/\\\/x.com\\\/ABES_SOFTWARE\",\"https:\\\/\\\/www.linkedin.com\\\/company\\\/abes-software\\\/\",\"https:\\\/\\\/www.instagram.com\\\/abes_software\\\/\"]},{\"@type\":\"Person\",\"@id\":\"https:\\\/\\\/abes.org.br\\\/#\\\/schema\\\/person\\\/d65ed84c8883a123fe668129fd6a7ed3\",\"name\":\"Editor ABES\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/3b207abce016c5e2ad6bf38914af9ad16e277128bb9b06dabb05bc191f02d7fe?s=96&d=mm&r=g\",\"url\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/3b207abce016c5e2ad6bf38914af9ad16e277128bb9b06dabb05bc191f02d7fe?s=96&d=mm&r=g\",\"contentUrl\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/3b207abce016c5e2ad6bf38914af9ad16e277128bb9b06dabb05bc191f02d7fe?s=96&d=mm&r=g\",\"caption\":\"Editor ABES\"},\"url\":\"https:\\\/\\\/abes.org.br\\\/en\\\/author\\\/editor-abes\\\/\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Novo ransomware desabilita sistemas de seguran\u00e7a - ABES","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/abes.org.br\/en\/novo-ransomware-desabilita-sistemas-de-seguranca\/","og_locale":"en_US","og_type":"article","og_title":"Novo ransomware desabilita sistemas de seguran\u00e7a - ABES","og_description":"Black Basta, provavelmente vinculado ao grupo FIN7, instala ferramentas\u00a0personalizadas de evas\u00e3o de EDR – Endpoint Detection and Response, implanta scripts e apaga seus rastros CLM, distribuidor latino-americano de valor agregado com foco em seguran\u00e7a da informa\u00e7\u00e3o, prote\u00e7\u00e3o de dados, infraestrutura para data centers e cloud, alerta para novos ataques de ransomware que usam ferramentas personalizadas […]","og_url":"https:\/\/abes.org.br\/en\/novo-ransomware-desabilita-sistemas-de-seguranca\/","og_site_name":"ABES","article_publisher":"https:\/\/www.facebook.com\/ABES.software","article_published_time":"2022-11-17T11:25:49+00:00","og_image":[{"url":"https:\/\/abes.org.br\/wp-content\/uploads\/2022\/11\/unnamed-3.png","type":"","width":"","height":""}],"author":"Editor ABES","twitter_card":"summary_large_image","twitter_creator":"@ABES_SOFTWARE","twitter_site":"@ABES_SOFTWARE","twitter_misc":{"Written by":"Editor ABES","Est. reading time":"13 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/abes.org.br\/novo-ransomware-desabilita-sistemas-de-seguranca\/#article","isPartOf":{"@id":"https:\/\/abes.org.br\/novo-ransomware-desabilita-sistemas-de-seguranca\/"},"author":{"name":"Editor ABES","@id":"https:\/\/abes.org.br\/#\/schema\/person\/d65ed84c8883a123fe668129fd6a7ed3"},"headline":"Novo ransomware desabilita sistemas de seguran\u00e7a","datePublished":"2022-11-17T11:25:49+00:00","mainEntityOfPage":{"@id":"https:\/\/abes.org.br\/novo-ransomware-desabilita-sistemas-de-seguranca\/"},"wordCount":2418,"publisher":{"@id":"https:\/\/abes.org.br\/#organization"},"image":{"@id":"https:\/\/abes.org.br\/novo-ransomware-desabilita-sistemas-de-seguranca\/#primaryimage"},"thumbnailUrl":"https:\/\/abes.org.br\/wp-content\/uploads\/2022\/11\/unnamed-3.png","keywords":["cibercriminosos","Malware"],"articleSection":["-Coluna 4","\u00daltimas not\u00edcias"],"inLanguage":"en-US"},{"@type":"WebPage","@id":"https:\/\/abes.org.br\/novo-ransomware-desabilita-sistemas-de-seguranca\/","url":"https:\/\/abes.org.br\/novo-ransomware-desabilita-sistemas-de-seguranca\/","name":"Novo ransomware desabilita sistemas de seguran\u00e7a - ABES","isPartOf":{"@id":"https:\/\/abes.org.br\/#website"},"primaryImageOfPage":{"@id":"https:\/\/abes.org.br\/novo-ransomware-desabilita-sistemas-de-seguranca\/#primaryimage"},"image":{"@id":"https:\/\/abes.org.br\/novo-ransomware-desabilita-sistemas-de-seguranca\/#primaryimage"},"thumbnailUrl":"https:\/\/abes.org.br\/wp-content\/uploads\/2022\/11\/unnamed-3.png","datePublished":"2022-11-17T11:25:49+00:00","breadcrumb":{"@id":"https:\/\/abes.org.br\/novo-ransomware-desabilita-sistemas-de-seguranca\/#breadcrumb"},"inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["https:\/\/abes.org.br\/novo-ransomware-desabilita-sistemas-de-seguranca\/"]}]},{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/abes.org.br\/novo-ransomware-desabilita-sistemas-de-seguranca\/#primaryimage","url":"https:\/\/abes.org.br\/wp-content\/uploads\/2022\/11\/unnamed-3.png","contentUrl":"https:\/\/abes.org.br\/wp-content\/uploads\/2022\/11\/unnamed-3.png"},{"@type":"BreadcrumbList","@id":"https:\/\/abes.org.br\/novo-ransomware-desabilita-sistemas-de-seguranca\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"In\u00edcio","item":"https:\/\/abes.org.br\/"},{"@type":"ListItem","position":2,"name":"Novo ransomware desabilita sistemas de seguran\u00e7a"}]},{"@type":"WebSite","@id":"https:\/\/abes.org.br\/#website","url":"https:\/\/abes.org.br\/","name":"ABES","description":"Brazilian Association of Software Companies","publisher":{"@id":"https:\/\/abes.org.br\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/abes.org.br\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"en-US"},{"@type":"Organization","@id":"https:\/\/abes.org.br\/#organization","name":"Brazilian Association of Software Companies","url":"https:\/\/abes.org.br\/","logo":{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/abes.org.br\/#\/schema\/logo\/image\/","url":"https:\/\/abes.org.br\/wp-content\/uploads\/2020\/09\/logo_abes_marca_d_tagline_horizontal_verde-amarelo_cmyk.png","contentUrl":"https:\/\/abes.org.br\/wp-content\/uploads\/2020\/09\/logo_abes_marca_d_tagline_horizontal_verde-amarelo_cmyk.png","width":324,"height":70,"caption":"Associa\u00e7\u00e3o Brasileira das Empresas de Software"},"image":{"@id":"https:\/\/abes.org.br\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/ABES.software","https:\/\/x.com\/ABES_SOFTWARE","https:\/\/www.linkedin.com\/company\/abes-software\/","https:\/\/www.instagram.com\/abes_software\/"]},{"@type":"Person","@id":"https:\/\/abes.org.br\/#\/schema\/person\/d65ed84c8883a123fe668129fd6a7ed3","name":"ABES Editor","image":{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/secure.gravatar.com\/avatar\/3b207abce016c5e2ad6bf38914af9ad16e277128bb9b06dabb05bc191f02d7fe?s=96&d=mm&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/3b207abce016c5e2ad6bf38914af9ad16e277128bb9b06dabb05bc191f02d7fe?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/3b207abce016c5e2ad6bf38914af9ad16e277128bb9b06dabb05bc191f02d7fe?s=96&d=mm&r=g","caption":"Editor ABES"},"url":"https:\/\/abes.org.br\/en\/author\/editor-abes\/"}]}},"publishpress_future_action":{"enabled":false,"date":"2026-04-26 08:07:43","action":"change-status","newStatus":"draft","terms":[],"taxonomy":"category","extraData":[]},"publishpress_future_workflow_manual_trigger":{"enabledWorkflows":[]},"_links":{"self":[{"href":"https:\/\/abes.org.br\/en\/wp-json\/wp\/v2\/posts\/53751","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/abes.org.br\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/abes.org.br\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/abes.org.br\/en\/wp-json\/wp\/v2\/users\/10"}],"replies":[{"embeddable":true,"href":"https:\/\/abes.org.br\/en\/wp-json\/wp\/v2\/comments?post=53751"}],"version-history":[{"count":2,"href":"https:\/\/abes.org.br\/en\/wp-json\/wp\/v2\/posts\/53751\/revisions"}],"predecessor-version":[{"id":53755,"href":"https:\/\/abes.org.br\/en\/wp-json\/wp\/v2\/posts\/53751\/revisions\/53755"}],"wp:attachment":[{"href":"https:\/\/abes.org.br\/en\/wp-json\/wp\/v2\/media?parent=53751"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/abes.org.br\/en\/wp-json\/wp\/v2\/categories?post=53751"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/abes.org.br\/en\/wp-json\/wp\/v2\/tags?post=53751"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}