A cibersegurança tornou-se uma prioridade global, especialmente com o surgimento de ameaças sofisticadas como o ransomware Black Basta, capazes de comprometer a estabilidade das organizações.
Desde seu surgimento, o Black Basta destacou-se por sua abordagem agressiva e eficaz, mirando principalmente grandes empresas e infraestruturas críticas, como o setor de saúde.
Neste artigo, exploraremos as origens e características do ransomware Black Basta, bem como as estratégias de atuação de seus afiliados.
Além disso, analisaremos o impacto desse ransomware nas infraestruturas de saúde e a resposta dos Estados Unidos para mitigar essa ameaça.
Por fim, destacaremos as orientações do governo brasileiro para proteger as organizações e infraestruturas críticas locais contra o avanço do Black Basta.
Compreender essas ações é fundamental para fortalecer a resiliência cibernética das organizações e assegurar a continuidade das suas operações em tempos de crescente atividade maliciosa.
Como surgiu o ransomware Black Basta?
O Black Basta, surgido em abril de 2022, rapidamente se consolidou como um dos protagonistas mais perigosos e lucrativos no cenário do ransomware.
Operando sob um modelo RaaS (Ransomware as a Service), o Black Basta oferece a seus afiliados acesso à sua infraestrutura e ferramentas de ataque em troca de uma parcela dos lucros obtidos.
Essa abordagem democratiza o cibercrime, permitindo que indivíduos com habilidades técnicas limitadas participem de ataques sofisticados, expandindo significativamente o alcance do grupo.
As origens do Black Basta não são totalmente conhecidas. Contudo, há especulações que o vinculam a organizações russas de cibercrime, incluindo o infame grupo Conti.
Independentemente de sua origem, o Black Basta rapidamente conquistou notoriedade por seus ataques direcionados e altamente eficazes.
O grupo se destaca pela meticulosa seleção de alvos, priorizando grandes empresas e infraestruturas críticas. Dessa forma, ele conseguiu arrecadar mais de US$100 milhões em resgates em apenas um ano de operação.
Uma vez dentro da rede da vítima, o Black Basta implementa uma estratégia de dupla extorsão. Além de criptografar dados confidenciais, ele ameaça liberar as informações roubadas na internet caso o resgate não seja pago.
Essa tática aumenta significativamente a pressão sobre as vítimas, forçando-as a tomar decisões difíceis sob extrema coerção.
Como os afiliados do ransomware Black Basta costumam atuar?
Os afiliados do Black Basta utilizam principalmente spear phishing para obter acesso inicial, ocasionalmente recorrendo ao malware Qakbot.
A partir de fevereiro de 2024, os afiliados começaram a explorar a vulnerabilidade ConnectWise CVE-2024-1709. Em alguns casos, eles abusaram de credenciais válidas.
Os afiliados empregam ferramentas como o SoftPerfect network scanner (netscan.exe) para realizar varreduras na rede. Eles costumam conduzir reconhecimento utilizando utilitários com nomes de arquivos inócuos, como Intel ou Dell, deixados no diretório raiz C:.
Para movimentação lateral, os afiliados usam ferramentas como BITSAdmin e PsExec, juntamente com o Protocolo de Área de Trabalho Remota (RDP). Alguns deles também empregam recursos como Splashtop, Screen Connect e beacons do Cobalt Strike para auxiliar no acesso remoto e na movimentação lateral.
Os afiliados utilizam ferramentas de scraping de credenciais, como Mimikatz, para escalonamento de privilégios. Segundo pesquisadores, eles também têm explorado as vulnerabilidades ZeroLogon CVE-2020-1472, NoPac CVE-2021-42278 e CVE-2021-42287, e PrintNightmare CVE-2021-34527 para escalonamento de privilégios local e no Windows Active Domain.
Os afiliados empregam o RClone para facilitar a exfiltração de dados antes da criptografia. Antes da exfiltração, eles podem utilizar PowerShell para desativar produtos antivírus. Em alguns casos, eles podem ainda implantar uma ferramenta chamada Backstab, projetada para desativar soluções de detecção e resposta de endpoint (EDR).
Uma vez que os programas antivírus são terminados, um algoritmo ChaCha20 com uma chave pública RSA-4096 criptografa completamente os arquivos. Uma extensão de arquivo .basta ou outra extensão aleatória é adicionada aos nomes dos arquivos, e uma nota de resgate intitulada readme.txt é deixada no sistema comprometido.
Para dificultar ainda mais a recuperação do sistema, os afiliados usam o programa vssadmin.exe para excluir cópias de sombra de volume.
O avanço contra as infraestruturas de saúde e a resposta dos EUA
O ransomware Black Basta intensificou seus ataques contra instituições de infraestrutura crítica nos últimos meses, impactando mais de 500 organizações em todo o mundo até o momento. Essa onda de ataques se concentra particularmente em entidades do setor de saúde, explorando vulnerabilidades e causando sérios transtornos.
Alguns fatores tornam o setor de saúde um alvo especialmente atraente:
- Tamanho das estruturas: organizações de saúde geralmente possuem grandes estruturas com diversos sistemas interligados, aumentando a superfície de ataque;
- Dependência tecnológica: o setor de saúde depende fortemente de tecnologia para armazenar e processar dados confidenciais de pacientes, tornando-o mais vulnerável a ciberataques;
- Acesso a informações pessoais: os dados de saúde dos pacientes são extremamente valiosos para cibercriminosos, podendo ser usados para fins ilícitos como fraude e chantagem;
- Graves impactos na interrupção dos serviços: ataques de ransomware podem paralisar sistemas críticos, impedindo o atendimento a pacientes e colocando em risco vidas.
Em resposta a essa crescente ameaça, a Cybersecurity and Infrastructure Security Agency (CISA), em conjunto com o Federal Bureau of Investigation (FBI) e outras instituições dos EUA, emitiu um Aviso Conjunto de Segurança Cibernética (CSA) sobre o Ransomware Black Basta.
O CSA detalha:
- Táticas, técnicas e procedimentos (TTPs) observados recentemente pelo Black Basta;
- Indicadores de comprometimento (IOCs) que podem ajudar as organizações a identificar se foram vítimas do ransomware;
- Mitigações para melhorar a postura de cibersegurança das organizações com base no modus operandi do Black Basta.
Orientações do governo brasileiro contra o Black Basta
No Brasil, o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos do Governo (CTIR Gov) instou as instituições da Administração Pública Federal a consultarem o Aviso Conjunto de Segurança Cibernética (CSA). Além disso, o CTIR Gov orientou outras entidades e organizações a adotarem medidas necessárias para se protegerem contra essa ameaça crescente.
O CTIR Gov recomenda que os responsáveis pela segurança das redes das Organizações Públicas de Saúde prestem especial atenção às técnicas e táticas utilizadas pelos atores da ameaça, priorizando as seguintes ações:
- Atualizações de sistemas: garantir que sistemas operacionais, software e firmware sejam atualizados assim que as novas versões forem lançadas, com prioridade para a correção das Vulnerabilidades Conhecidas Exploradas (disponíveis em: https://www.cisa.gov/known-exploited-vulnerabilities-catalog);
- Autenticação multifator (MFA): implementar MFA para todos os serviços que suportam essa funcionalidade e integrar os sistemas com o Login Único do Governo Federal. Informações técnicas sobre a integração podem ser encontradas em: https://acesso.gov.br/roteiro-tecnico;
- Conscientização sobre segurança digital: intensificar campanhas de conscientização de segurança digital para os colaboradores, com foco especial no reconhecimento e na notificação de tentativas de phishing;
- Backup de sistemas críticos: assegurar a execução regular de backups de sistemas críticos e das configurações dos dispositivos, de modo a permitir a restauração em caso de incidentes;
- Configuração e atualização de ferramentas de segurança: garantir que as ferramentas de segurança de endpoint estejam corretamente configuradas e sejam constantemente atualizadas.
Em conformidade com o Decreto 10.748/2021, o CTIR Gov solicita que as entidades responsáveis pelas Equipes de Tratamento e Resposta a Incidentes Cibernéticos Setoriais orientem suas respectivas comunidades sobre as recomendações mencionadas, de acordo com suas diretrizes e políticas específicas.
Conclusão
A crescente ameaça representada pelo ransomware Black Basta evidencia a necessidade urgente de reforçar a segurança cibernética das organizações.
Os ataques direcionados às infraestruturas de saúde nos Estados Unidos sublinham a gravidade da situação, motivando uma resposta coordenada de agências governamentais como a CISA e o FBI, que têm emitido orientações e recomendações para mitigar a ameaça.
Da mesma forma, o governo brasileiro, por meio do CTIR Gov, tem adotado medidas preventivas para proteger as organizações e infraestruturas críticas locais, recomendando atualizações constantes, autenticação multifator e campanhas de conscientização.
A batalha contra o ransomware Black Basta e outras ciberameaças é contínua e exige um esforço conjunto de governos, empresas e profissionais de segurança.
Implementar as melhores práticas de segurança, manter sistemas atualizados e educar os colaboradores são passos essenciais para fortalecer a resiliência cibernética das organizações.
Somente através de uma abordagem integrada e vigilante será possível mitigar os riscos e proteger as infraestruturas críticas contra ameaças como o Black Basta.
Deseja otimizar as defesas da sua empresa contra ataques de ransomware? Conte com o auxílio da equipe especializada da Diazero Security.
Oferecemos serviços que vão desde simulações profissionais de ataques de ransomware até a análise e reforço dos seus protocolos de resposta a incursões maliciosas.
Entre em contato conosco e agende uma demonstração com nossos especialistas.
Segurança