alphv-blackcat-group

# ALPHV BlackCat ## Visão Geral ALPHV BlackCat foi o segundo grupo de ransomware mais prolífico do mundo antes de sua disrupcao em dezembro de 2023 pelo FBI. Ativo desde novembro de 2021, o grupo operou um modelo RaaS sofisticado com ransomware escrito em **Rust** - primeiro grupo de alta atividade a usar esta linguagem - permitindo criptografar sistemas Windows, Linux e VMware ESXi simultaneamente. O grupo comprometeu mais de **1.000 entidades** globalmente, exigiu mais de USD 500 milhões e recebeu quase USD 300 milhões em pagamentos. O ataque a [[change-healthcare-attack-2024|Change Healthcare]] em fevereiro de 2024 foi o mais disruptivo da historia do setor de saúde americano. Em marco de 2024, após exit scam dos operadores levando USD 22 milhões do resgaté de um afiliado, o grupo encerrou operações. ## Ataque a Change Healthcare (Fevereiro 2024) O ataque mais impactante do grupo: - **21 de fevereiro de 2024:** Change Healthcare (subsidiaria da UnitedHealth Group) atacada - **Impacto:** Interrupcao da plataforma de pagamentos de saúde mais critica dos EUA; afetou Medicare, CVS, Health Net, Tricare - **Dados roubados:** 6 TB de informações de saúde de milhões de americanos - **Resgaté pago:** USD 22 milhões pagos pelo afiliado, sem repasse ao grupo - **Exit scam:** ALPHV desapareceu com os USD 22 milhões, defraudando o proprio afiliado ## Attack Flow - ALPHV BlackCat ```mermaid graph TB A["🎯 Engenharia Social Pose como IT/helpdesk (T1598) Roubo de MFA via Evilginx2"] --> B["🔑 Acesso Inicial Credenciais comprometidas VPN / RDP (T1586)"] B --> C["🔐 Reconhecimento Kerberos token generation Conta 'aadmin' criada"] C --> D["🔀 Movimento Lateral Plink + Ngrok tunneling Cobalt Strike / Brute Ratel C4"] D --> E["📦 Exfiltração Mega.nz / Dropbox Dados pre-criptografia (T1567)"] E --> F["💥 Ransomware Deploy ALPHV Rust - Windows/Linux/ESXi Triple extorsao DDoS + leak"] style A fill:#e74c3c,color:#fff style B fill:#c0392b,color:#fff style C fill:#8e44ad,color:#fff style D fill:#2980b9,color:#fff style E fill:#e67e22,color:#fff style F fill:#196f3d,color:#fff ``` ## Evolução do Arsenal ```mermaid timeline title Evolução do ALPHV BlackCat Nov 2021 : Primeiras operacoes : Ransomware em Rust (inovador) Abr 2022 : FBI FLASH advisory : +600 vitimas identificadas Fev 2023 : BlackCat 2.0 Sphynx : Melhor evasão defensas Dez 2023 : FBI disrupcao : Decryptor para 500 vitimas Fev 2024 : Change Healthcare attack : Setor saude como alvo prioritario Mar 2024 : Exit scam - USD 22 milhoes : Grupo encerra operacoes ``` ## Relevância para o Brasil e LATAM > [!warning] Ameaça ao Setor de Saúde LATAM > Após a disrupcao do FBI em dezembro de 2023, os administradores do ALPHV incentivaram ativamente afiliados a atacar hospitais, removendo restricoes. O padrao de targetting de saúde e altamente relevante para o Brasil dado o tamanho do setor privado de saúde brasileiro. Afiliados ALPHV também atacaram organizacoes em paises da América do Sul. O exit scam de USD 22 milhões demonstra que nem mesmo afiliados estao seguros neste ecosistema. ## Caracteristicas Técnicas Distintivas - **Linguagem Rust** - Primeiro RaaS de grande escala em Rust; plataforma cruzada nativa - **Triple extorsao** - Criptografia + vazamento + DDoS simultaneos - **Social engineering** - Afiliados se passam por IT/helpdesk para roubar MFA - **Evilginx2** - Framework adversary-in-the-middle para bypass de MFA - **"aadmin" account** - Criação de conta com nome padrao para persistência - **Extensao de arquivo** - Formato: `RECOVER-(7 digitos)-FILES.txt` ## Técnicas Utilizadas - [[t1598-phishing-for-information|T1598]] - Ligacoes/SMS fingindo ser helpdesk de TI - [[t1557-adversary-in-the-middle|T1557]] - Evilginx2 para bypass de MFA - [[t1558-steal-or-forge-kerberos-tickets|T1558]] - Geracao de tokens Kerberos para acesso ao dominio - [[t1555-credentials-from-password-stores|T1555]] - Roubo de senhas do DC e backups - [[t1219-remote-access-tools|T1219]] - AnyDesk, Splashtop, Mega Sync abusados - [[t1567-exfiltration-over-web-service|T1567]] - Exfiltração via Mega.nz/Dropbox - [[t1486-data-encrypted-for-impact|T1486]] - Criptografia Windows/Linux/VMware ESXi ## Software Utilizado - ALPHV BlackCat Ransomware - Rust, multiplataforma - [[s0154-cobalt-strike|Cobalt Strike]] - C2 beacon pos-exploração - [[s1063-brute-ratel-c4|Brute Ratel C4]] - Framework C2 alternativo (evasão de EDR) - [[evilginx2|Evilginx2]] - Adversary-in-the-middle para MFA bypass - Plink + Ngrok - Tunneling para acesso persistente --- *Fontes: [FBI/CISA Advisory AA23-353A](https://www.ic3.gov/CSA/2023/231219.pdf) | [HHS Advisory](https://www.hhs.gov/sites/default/files/aa23-353a-stopransomware-alphv-blackcat-update.pdf) | [SecurityAffairs](https://securityaffairs.com/159703/cyber-crime/alphv-blackcat-ransomware-healthcare-sector.html)*