Dopo una serie di recenti attacchi, il famigerato ransomware BlackCat potrebbe diventare molto più cattivo, secondo una nuova ricerca.
Un rapporto di Sophos ha affermato che gli attori delle minacce dietro il ransomware ora sembrano aver aggiunto lo strumento Brute Ratel al loro arsenale, rendendo lo strumento ancora più pericoloso.
Brute Ratel è uno strumento di simulazione di attacchi e test di penetrazione, simile ma meno noto di, ad esempio, Cobalt Strike.
Puntare su sistemi obsoleti
"Quello che abbiamo visto di recente con BlackCat e altri attacchi è che gli autori delle minacce sono molto efficaci ed efficienti nel loro lavoro. Usano metodi collaudati, come attaccare firewall e VPN vulnerabili, perché sanno che funzionano ancora, ma stanno innovando per aggirare le difese di sicurezza, ad esempio passando al nuovo framework C2 dopo l’exploit Brute Ratel nei loro attacchi”, ha affermato (si apre in una nuova scheda) Christopher Budd, direttore senior della ricerca sulle minacce presso Sophos.
Brute Ratel non è l'unico strumento utilizzato, poiché l'analisi di incidenti precedenti ha dimostrato che BlackCat utilizza altri strumenti open source e disponibili in commercio per creare backdoor aggiuntive e sfruttare altre alternative di accesso remoto, come TeamViewer o nGrok. Ovviamente è stato utilizzato anche Cobalt Strike.
Gli operatori BlackCat in genere considerano firewall obsoleti (si apre in una nuova scheda) e servizi VPN senza patch come punto di ingresso iniziale. Da dicembre 2021 sono riusciti a infiltrarsi con successo in almeno quattro organizzazioni, sfruttando le vulnerabilità del firewall.
Una volta ottenuto l'accesso alla rete, utilizzeranno i firewall per estrarre le credenziali e spostarsi liberamente lateralmente nel sistema.
BlackCat non sembra favorire nessuna vittima in particolare, poiché la minaccia prende di mira le aziende negli Stati Uniti, in Europa e in Asia.
L'unico prerequisito per un attacco è che l'azienda operi su sistemi che hanno raggiunto la fine della loro vita utile, non dispongano di autenticazione a più fattori o VPN e utilizzino reti flat (dove ogni endpoint ha visibilità su tutti gli altri terminali nel Rete).
“Il denominatore comune di tutti questi attacchi è che sono stati facili da portare a termine. In un caso, gli stessi aggressori di BlackCat hanno installato cryptominer un mese prima di rilasciare il ransomware. Quest'ultima ricerca evidenzia quanto sia importante seguire le migliori pratiche di sicurezza consolidate; hanno ancora molto potere per prevenire e contrastare gli attacchi, inclusi attacchi multipli contro una singola rete. »