Ransomware BlackByte e KILLSEC focam no Brasil 

Ransomware BlackByte e KILLSEC focam no Brasil. Grupos de ransomware BlackByte e KILLSEC lançam campanhas com foco no Brasil 

Ataques cibernéticos visam diversos setores como financeiro e manufatureiro, destacando a urgência de medidas de segurança robustas 

A ISH Tecnologia, referência nacional em cibersegurança, alerta para recentes campanhas dos grupos de ransomware KILLSEC e BlackByte que miram empresas do Brasil. De acordo com o levantamento, os setores de financeiro, manufatura, consultoria e tecnologia são os principais alvos.

Em comum, os grupos utilizam táticas sofisticadas de exfiltração de dados e criptografia rápida, pressionando as vítimas a pagarem resgates em criptomoedas. Ambos exploram vulnerabilidades em sistemas e adotam métodos de reconhecimento avançados para identificar alvos vulneráveis.

KILLSEC: Abordagem agressiva e sofisticada 

O grupo KILLSEC, ativo desde 2024, adota uma abordagem agressiva. Eles utilizam ferramentas de OSINT (inteligência de fonte aberta) para identificar alvos vulneráveis, principalmente no setor financeiro e de saúde. Após infecções iniciais por emails de phishing e exploração de vulnerabilidades em servidores e aplicações web, os dados são rapidamente criptografados, com prazos curtos para pagamento em criptomoedas.

 

Tabela com os setores mais atingidos até o momento pelo KILLSEC

Métodos de ataque: 

Reconhecimento: Utilizam OSINT para mapear alvos potenciais, explorando redes sociais e outras fontes públicas;

Acesso Inicial: Realizam ataques de phishing e exploram vulnerabilidades em sistemas de gerenciamento de conteúdo e controle remoto.

Persistência: Implementam comandos para limpar rastros e garantir acesso contínuo, mesmo após tentativas de correção.

Criptografia Rápida: Os dados são criptografados rapidamente, com prazos curtos para pagamento, aumentando a pressão sobre as vítimas.
 

BlackByte: Ataques a setores críticos 

Supostamente de origem russa, o BlackByte concentra seus ataques em setores de manufatura, consultoria e tecnologia. Utilizando vulnerabilidades conhecidas como ProxyShell em servidores Microsoft Exchange, e ferramentas personalizadas como o ExByte, o grupo exfiltra dados sensíveis. Eles também exploram credenciais comprometidas e afetam máquinas virtuais para comprometer ambientes de infraestrutura.

 

Métodos de ataque: 

Exploração de Vulnerabilidades: Utilizam falhas como CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207 para execução remota de códigos.

Exfiltração de Dados: Usam ferramentas como o ExByte para coletar e enviar informações sensíveis para plataformas de compartilhamento.

Credenciais Comprometidas: Compram credenciais em mercados ilegais ou realizam ataques de força bruta.

Movimentação Lateral: Utilizam ferramentas como NetScan e AnyDesk para mapear e acessar a infraestrutura da vítima.

Desativação de Segurança: Encerram processos relacionados a aplicativos de segurança para evitar a detecção.

 

Impactos e prevenção 

Os ataques desses grupos destacam a importância da segurança cibernética. Ambos não apenas criptografam dados, mas também exfiltram e ameaçam divulgar informações sensíveis para aumentar a pressão pelo pagamento.

 

Recomendações da ISH Tecnologia: 

Backups Regulares: Realizar backups frequentes e testar sua integridade.

Correções de Segurança: Aplicar patches críticos e manter sistemas atualizados.

Segurança de Rede: Implementar segmentação de rede e controles de acesso.

Monitoramento: Investir em soluções de monitoramento de rede e análise de comportamentos suspeitos.

Filtragem de E-mail: Configurar filtros para bloquear anexos e links suspeitos.

Planos de Recuperação: Desenvolver e testar planos de recuperação e continuidade dos negócios.

Veja também:

About mindsecblog 2776 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

2 Trackbacks / Pingbacks

  1. Os desafios da segurança em criptomoedas
  2. Imutabilidade é essencial para proteger os dados de backup

Deixe sua opinião!