Recentemente, um vazamento significativo de logs de conversas internas do grupo de ransomware Black Basta foi analisado pela empresa de cibersegurança GreyNoise. Esses registros revelam detalhes operacionais sobre a estratégia do grupo, seus métodos de ataque e as falhas exploradas em campanhas recentes.
A análise mostrou que, das 62 vulnerabilidades mencionadas nos diálogos entre os cibercriminosos, 23 foram identificadas com exploração ativa nos últimos 30 dias, sendo 13 delas exploradas nas últimas 24 horas.
A esmagadora maioria dessas falhas já foi comunicada pela SEK aos nossos clientes e parceiros, seja por meio de nossas Listas de Vulnerabilidades em Alta (LVAs), Notificações de Vulnerabilidades (NDVs) ou Comunicados Emergenciais.
Algumas dessas falhas não constam no Catálogo de Vulnerabilidades Exploradas da CISA (KEV), evidenciando que não podemos depender apenas de órgãos oficiais para realizar esse tipo de monitoramento, e reforçando a importância de agir de forma proativa quando o assunto é segurança da informação.
É imperativo corrigir, o mais rápido possível (caso ainda não tenha sido feito), as vulnerabilidades que estão sendo exploradas pelo grupo, com maior foco nas que foram visadas nas últimas 24 horas. Para mais detalhes sobre a análise da GreyNoise, e a lista completa de CVEs, acesse este link: https://www.greynoise.io/blog/greynoise-detects-active-exploitation-cves-black-bastas-leaked-chat-logs
Outras recomendações incluem:
- Mantenha um programa contínuo de gestão de vulnerabilidades e aplicação de patches: empresas devem estabelecer processos recorrentes para identificar, avaliar e corrigir vulnerabilidades, priorizando falhas com exploração ativa. Acompanhar as recomendações da SEK garante acesso a uma visão mais ampla e atualizada das ameaças.
- Implemente monitoramento contínuo contra tentativas de exploração: utilize plataformas de Threat Intelligence, como MISP, para correlacionar indicadores de comprometimento (IoCs) associados ao Black Basta. Configure seu SIEM para ingestão automática desses IoCs e criação de alertas para detecção de acessos suspeitos, execuções de ferramentas maliciosas e tráfego anômalo relacionado às vulnerabilidades exploradas pelo grupo.
- Valide suas fontes de inteligência e amplie sua visibilidade: o catálogo KEV da CISA não cobre todas as vulnerabilidades exploradas ativamente, tornando essencial o uso de fontes complementares. A SEK mantém listas atualizadas de IoCs e relatórios técnicos, distribuídos via MISP e nossas LVAs/NDVs, permitindo que clientes antecipem ataques antes mesmo de uma vulnerabilidade entrar em repositórios públicos. Certifique-se de integrar essas informações ao seu SOC e revisar regularmente sua postura defensiva.
- Treine e conscientize sua equipe: equipes de TI e segurança devem ser treinadas para identificar vetores de ataque, responder rapidamente a ameaças e implementar medidas preventivas. Simulações de phishing e treinamentos regulares são essenciais.
- Implemente medidas preventivas específicas: bloqueie ferramentas frequentemente utilizadas em ataques, como Cobalt Strike, Brute Ratel e outras listadas nos logs vazados. Aplique regras de firewall, segmentação de rede e proteções contra execuções não autorizadas de scripts.
Seguiremos acompanhando o desdobramento do vazamento, e manteremos nossos clientes e parceiros informados caso haja alguma atualização.
