O notório grupo de ransomware BlackCat foi rastreado usando o principal serviço de publicidade online do gigante da tecnologia para distribuir malware
A gangue do ransomware ALPHV/BlackCat foi rastreada usando o Google Ads, principal serviço de publicidade online do gigante da tecnologia, para distribuir malware. Responsável pela violação de US$ 100 milhões da MGM Resorts e pelo vazamento de imagens sensíveis de pacientes com câncer de mama, o grupo expandiu recentemente seus métodos de ataque para incluir malvertising, de acordo com a unidade de resposta a ameaças da eSentire.
Em um novo comunicado publicado na quarta-feira, 15, a empresa de segurança cibernética disse que interceptou e frustrou tentativas de afiliados do ALPHV/BlackCat de violar um escritório de advocacia, um fabricante e um provedor de armazém nas últimas três semanas.
O ALPHV/BlackCat faz parte de um ecossistema de crimes cibernéticos com funções especializadas, resultado da evolução de operadores de ransomware experientes como REvil, DarkSide e BlackMatter. Os afiliados que suportam ALPHV/BlackCat incluem os grupos FIN7, UNC2565 e Scattered Spider.
A nova tática observada pela eSentire envolve o uso do Google Ads promovendo softwares populares como o Advanced IP Scanner e o Slack, levando profissionais de negócios a sites controlados por invasores. Esses profissionais, muitas vezes pensando que estão baixando software legítimo, involuntariamente instalam o malware Nitrogen, que serve como malware de acesso inicial, fornecendo aos intrusos um ponto de apoio no ambiente de TI da organização alvo.
Uma vez estabelecidos, os hackers infectam a vítima com o ransomware ALPHV/BlackCat.
“O malware Nitrogen aproveita bibliotecas Python ofuscadas que compilam para executáveis do Windows”, explicou Keegan Keplinger, pesquisador sênior de inteligência de ameaças da unidade de resposta a ameaças da eSentire. “Essas bibliotecas são úteis para casos de uso legítimos – como otimizar o código Python, mas também estão sendo usadas para desenvolver carregadores de malware maliciosos que podem carregar ferramentas de intrusão diretamente na memória.”
De forma mais geral, o especialista em segurança acrescentou que o aumento das ameaças cibernéticas baseadas em navegadores, em que os usuários baixam malware sem saber enquanto navegam, se tornou uma tendência preocupante. Keplinger enfatizou a necessidade de o treinamento de conscientização do usuário para ir além dos anexos de e-mail, abordando a crescente ameaça de downloads baseados em navegador.
O comunicado da eSentire recomendou que as organizações se concentrem no monitoramento de endpoint, capturem e monitorem logs para sistemas que não oferecem suporte ao monitoramento de endpoint e implementem regras de redução de superfície de ataque para mitigar ataques baseados em navegador.
As origens criminosas do grupo ALPHV/BlackCat, as conexões com antigos grupos de ransomware e seus recentes ataques de alto perfil a MGM Resorts, McClaren Health Care, Clarion e Motel One enfatizam ainda mais a urgência de medidas aprimoradas de segurança cibernética.
Para ter acesso ao relatório da eSentire, em inglês, clique aqui.
Fonte:
https://www.cisoadvisor.com.br/ransomware-visa-empresas-atraves-do-google-ads/