Malware bancário Carbanak ressurge com novas táticas de ransomware

05/01/2024 mindsecblog Notícias 9

Malware bancário Carbanak ressurge com novas táticas de ransomware. O malware bancário conhecido como Carbanak foi observado sendo usado em ataques de ransomware com táticas atualizadas.

“O malware se adaptou para incorporar fornecedores e técnicas de ataque para diversificar sua eficácia”, disse a empresa de segurança cibernética NCC Group em uma análise de ataques de ransomware ocorridos em novembro de 2023.

“Carbanak retornou no mês de novembro através de novas cadeias de distribuição e foi distribuído através de sites comprometidos para se passar por vários softwares relacionados a negócios.”

Algumas das ferramentas personificadas incluem softwares populares relacionados a negócios, como HubSpot, Veeam e Xero.

Carbanak , detectado na natureza desde pelo menos 2014, é conhecido por seus recursos de exfiltração de dados e controle remoto. Começando como um malware bancário, ele foi utilizado pelo sindicato do crime cibernético FIN7 .

Na última cadeia de ataques documentada pelo Grupo NCC, os sites comprometidos são projetados para hospedar arquivos de instalação maliciosos disfarçados de utilitários legítimos para acionar a implantação do Carbanak.

O desenvolvimento ocorre no momento em que 442 ataques de ransomware foram relatados no mês passado, contra 341 incidentes em outubro de 2023. Um total de 4.276 casos foram relatados até agora neste ano, o que é “menos de 1.000 incidentes a menos do que o total de 2021 e 2022 combinados ( 5.198).“

Os dados da empresa mostram que a indústria (33%), o consumo cíclico (18%) e a saúde (11%) emergiram como os setores mais visados, com a América do Norte (50%), a Europa (30%) e a Ásia (10%). ) responsável pela maioria dos ataques.

Quanto às famílias de ransomware mais comumente detectadas, LockBit , BlackCat e Play contribuíram para 47% (ou 206 ataques) de 442 ataques. Com o BlackCat desmantelado pelas autoridades este mês, resta saber qual o impacto que a medida terá no cenário de ameaças no futuro próximo.

“já em novembro, o número total de ataques ultrapassou 4.000, o que marca um grande aumento em relação a 2021 e 2022, por isso será interessante ver se os níveis de ransomware continuarão a subir no próximo ano”, Matt Hull, global chefe de inteligência de ameaças do Grupo NCC, disse.

O aumento nos ataques de ransomware em novembro também foi corroborado pela seguradora cibernética Corvus, que afirmou ter identificado 484 novas vítimas de ransomware postadas em sites de vazamento.

“O ecossistema de ransomware em geral se afastou com sucesso do QBot”, disse a empresa . “Tornar explorações de software e famílias alternativas de malware parte de seu repertório está valendo a pena para os grupos de ransomware.”

Embora a mudança seja o resultado de uma remoção da infraestrutura do QBot (também conhecido como QakBot), pela aplicação da lei , a Microsoft, na semana passada, divulgou detalhes de uma campanha de phishing de baixo volume distribuindo o malware, ressaltando os desafios no desmantelamento total desses grupos.

O desenvolvimento ocorre no momento em que a Kaspersky revela que as medidas de segurança do ransomware Akira evitam que seu site de comunicação seja analisado, levantando exceções ao tentar acessar o site usando um depurador no navegador da web.

A empresa russa de segurança cibernética destacou ainda a exploração, pelos operadores de ransomware, de diferentes falhas de segurança no driver do Windows Common Log File System (CLFS) – CVE-2022-24521, CVE-2022-37969, CVE-2023-23376, CVE-2023-28252 ( Pontuações CVSS: 7,8) – para escalonamento de privilégios.