O Sentinel Labs, laboratório de pesquisas sobre crimes digitais da SentinelOne, alerta para novos ataques de ransomware que usam ferramentas personalizadas de evasão de EDR (Endpoint Detection and Response). Trata-se do ransomware Black Basta, que vem usando técnicas, até então desconhecidas, capazes de desabilitar sistemas de segurança baseados em antivírus, como o Windows Defender, obter acesso privilegiado e se camuflar no sistema.
Francisco Camargo, CEO da distribuidora de soluções de cibersegurança CLM, explica que os pesquisadores do Sentinel Labs descobriram que o Black Basta instala ferramentas personalizadas, que permitem que seus ataques usem uma versão camuflada do ADFind e explorem as vulnerabilidades PrintNightmare, ZeroLogon e NoPac para escalonamento de privilégios.
Além disso, os cibercriminosos iniciam suas ofensivas com um Qakbot, entregue por e-mail e documentos do MS Office, que contenham macros, droppers ISO+LNK e documentos .docx que exploram a vulnerabilidade de execução remota de código MSDTC, CVE-2022-30190. "Depois de usar meticulosas técnicas de invasão, inclusive se tornando o administrador do sistema com uma senha própria, eles cobrem seus rastros", descreve Camargo.
Black Basta mantém e implanta ferramentas personalizadas
Em seu relatório, o Sentinel Labs explica que o Black Basta usa diversos métodos para movimento lateral, implantando diferentes scripts, em lote, por meio de Psexec em diferentes máquinas para automatizar o encerramento de processos e serviços e prejudicar as defesas. O ransomware também foi implantado em várias máquinas via psexec.
Nos incidentes mais recentes do Black Basta, o Sentinel Labs observou um arquivo em lote chamado SERVI.bat implantado por meio do psexec em todos os terminais da infraestrutura de destino. Esse script, instalado pelo invasor, tem o objetivo de eliminar serviços e processos para maximizar o impacto do ransomware, excluir as cópias shadow e eliminar determinadas soluções de segurança.
O ransomware Black Basta surgiu em abril de 2022 e invadiu mais de 90 organizações até setembro de 2022. A rapidez e o volume de ataques provam que os atores por trás do Black Basta são bem organizados e com bons recursos. Segundo os pesquisadores do Sentinel Labs, ainda não houve indicações de que o Black Basta esteja recrutando afiliados ou se anunciando como RaaS – Ransomware as a Service – nos fóruns da darknet ou mercados de crimeware.
A pesquisa indica que os indivíduos por trás do ransomware Black Basta desenvolvem e mantêm seu próprio kit de ferramentas e excluem afiliados ou apenas colaboram com um conjunto limitado e confiável (para eles) de afiliados, de maneira semelhante a outros grupos de ransomware 'privados', como Conti, TA505 e Evilcorp.
O SentinelLabs avalia que é provável que o desenvolvedor dessas ferramentas de evasão de EDR seja ou tenha sido o desenvolvedor do FIN7. Segundo os pesquisadores, o ecossistema de crimeware está em constante expansão, mudança e evolução. O FIN7 (ou Carbanak) é frequentemente creditado por inovar no espaço criminal, levando os ataques contra bancos e sistemas PoS a novos patamares, muito além dos esquemas de seus pares.
