# Gold Blazer > [!warning] Resumo Executivo > GOLD BLAZER (SecureWorks) e o nome de rastreamento para o grupo que coordena a operação RaaS **ALPHV/BlackCat (Noberus)**. Emergiu em novembro 2021 como successor do [[blackmatter|BlackMatter]] - que por sua vez sucedeu o [[darkside|DarkSide]]. Durante sua operação, tornou-se uma das plataformas RaaS mais sofisticadas: escrita em Rust, com suporte a Windows/Linux/VMware ESXi, modelo de triple extortion e afiliados de alto perfil como **Scattered Spider**. Em dezembro 2023, o FBI tentou takedown; o grupo retomou operações. Em marco 2024, anunciou encerramento após possível exit scam de US$22M no caso Change Healthcare. Afiliados migraram em massa para [[s1212-ransomhub|RansomHub]]. ## Visão Geral **GOLD BLAZER** operou a plataforma ALPHV/BlackCat de novembro 2021 a marco 2024. Durante esse período: - **60+ organizacoes comprometidas** nos primeiros 4 meses de operação (relatado pelo FBI, abril 2022) - **Modelo de revenue sharing**: porcentagem varia por valor do ransom; afiliados "Plus" (>US$1.5M) recebem acesso diferenciado - **Inovacao técnica**: Primeiro RaaS grande em Rust; suporte nativo a Linux e VMware ESXi; triple extortion (decrypt + nao públicar + DDoS) - **Affiliados de elite**: Scattered Spider/GOLD HARVEST usava engenharia social para IT helpdesk reset; ALPHV fornecia o ransomware - **Encerramento controverso**: FBI tomou site em dez 2023; GOLD BLAZER recuperou site e continuou; novo site seizure em mar 2024 + exit scam suspeito ### Linea de Sucessao ``` COREID/CARBON SPIDER | +-- DarkSide (ago 2020 - mai 2021) | |-> Colonial Pipeline - FBI pressao | +-- BlackMatter (jul 2021 - nov 2021) | |-> Encerramento após pressao LEA | +-- ALPHV/BlackCat (nov 2021 - mar 2024) | |-> FBI takedown dez 2023 | |-> Retomada e exit scam | (Afiliados migraram para RansomHub) (Cicada3301 pode ser rebrand BlackCat) ``` ## Attack Flow ALPHV (exemplo Scattered Spider + ALPHV) ```mermaid graph TB A["📞 Vishing Attack<br/>Scattered Spider<br/>Engana IT helpdesk T1566.004"] --> B["🔑 Credential Reset<br/>Acesso VPN/SSO<br/>via social engineering T1078"] B --> C["🔍 AD Recon<br/>LDAP queries<br/>ADFind T1087"] C --> D["🔐 NTDS.dit Dump<br/>Credenciais de dominio<br/>Kerberoasting T1003.001"] D --> E["💾 Data Exfil<br/>ExMatter - dados sensiveis<br/>SFTP/FTP T1048"] E --> F["🔒 BlackCat Deploy<br/>Windows/Linux/ESXi<br/>ChaCha20+RSA T1486"] F --> G["💰 Triple Extortion<br/>Decrypt + Silencio<br/>+ DDoS ameaça"] style A fill:#7b241c,color:#fff style B fill:#922b21,color:#fff style C fill:#a93226,color:#fff style D fill:#e67e22,color:#fff style E fill:#1a5276,color:#fff style F fill:#6c3483,color:#fff style G fill:#117a65,color:#fff ``` ## Timeline ```mermaid timeline title GOLD BLAZER / ALPHV - Historia Nov 2021 : ALPHV/BlackCat lancado : Rust language - inovacao : Windows Linux ESXi : Anuncio em forums Exploit e XSS Abr 2022 : FBI alerta : 60+ organizacoes comprometidas : Pagamentos US$80K - US$15M 2022-2023 : Expansao rapida : Citrix Bleed exploited : Scattered Spider como afiliado : MGM Resorts ataque Dez 2023 : FBI toma site : GOLD BLAZER recupera controle : Continua operacoes Fev 2024 : Change Healthcare ataque : Disrupcao sistema saude EUA : US$22M pago como ransom Mar 2024 : GOLD BLAZER anuncia encerramento : Suspeito exit scam com US$22M : Afiliado Notchy publicamente lesado : Afiliados migram para RansomHub ``` ## Arsenal e Capabilities | Ferramenta | Detalhe | |-----------|---------| | [[alphv-blackcat\|ALPHV/BlackCat ransomware]] | Rust; cross-platform; ChaCha20+RSA; ESXi nativo | | [[exmatter\|ExMatter]] | Data exfiltration pre-encriptacao; SFTP/FTP/WebDAV | | [[eamfo\|Eamfo]] | Credential stealer para aplicações Veeam backup | | [[mimikatz\|Mimikatz]] | Credential dumping | | [[s0154-cobalt-strike\|Cobalt Strike]] | Post-exploitation e lateral movement | | [[avneutralizer\|AvNeutralizer]] | EDR killer BYOVD (dos desenvolvedores do grupo) | | [[netsupport-rat\|NetSupport RAT]] | Usado por alguns afiliados para acesso inicial | ## Vitimas de Alto Perfil | Organização | Setor | Pagamento | Impacto | |-------------|-------|---------|---------| | MGM Resorts | Hospitality | Recusou pagar (~US$100M danos) | 10+ dias offline | | Change Healthcare | Healthcare | US$22M | Farmácias e hospitais EUA disrupcao massiva | | Reddit | Technology | Dados exfiltrados | 80GB dados; extorsao de politica | | Constellation Software | Technology | Confirmado comprometido | Sem detalhe de pagamento | ## CVEs Explorados por Afiliados - **CVE-2023-4966 (Citrix Bleed)**: Explorada em outubro 2023 por afiliados ALPHV para acesso initial em Citrix NetScaler sem autenticação ## Relevância para o Brasil e LATAM GOLD BLAZER/ALPHV teve **impacto direto documentado** no Brasil: 1. **Vitimas brasileiras confirmadas**: Organizacoes brasileiras foram listadas no leak site ALPHV antes do takedown 2. **Setor saúde em risco**: O ataque a Change Healthcare demonstra impacto sistemico em redes de saúde - hospitais brasileiros interligados a sistemas americanos sao potenciais alvos 3. **Afiliados continuam ativos**: A migracao pos-encerramento para RansomHub mantem os mesmos afiliados operacionais - com capacidade demonstrada em LATAM 4. **Modelo ESXi**: Hospitais, bancos e empresas brasileiras com VMware ESXi sao alvos naturais da versao Linux/ESXi do BlackCat 5. **ExMatter como precedente**: A exfiltração sistematica pre-encriptacao significa que dados de vitimas brasileiras podem ter sido comprometidos mesmo sem pagamento confirmado ## Detecção | Indicador | Técnica | |-----------|---------| | Ransom note com extensao `.blackcat` ou personalizada | T1486 | | Binario BlackCat executado com `--ui --access-token` | T1486 | | ExMatter em diretorio temporario: exfiltração SFTP | T1048 | | Eamfo: processo acessando database Veeam | T1003 | | Citrix NetScaler: sessoes sem cookie de autenticação válido (Citrix Bleed) | T1190 | | Conta de service criada com nome aleatório durante movimento lateral | T1078.002 | ## Referências - [1](https://www.secureworks.jp/research/threat-profiles/gold-blazer) SecureWorks - GOLD BLAZER Profile (ALPHV/BlackCat) - [2](https://www.security.com/threat-intelligence/noberus-blackcat-ransomware-ttps) Symantec - Noberus/BlackCat TTPs Completos - [3](https://csirt.cynet.ac.cy/latest-alerts/alerts/aa21-291a-blackmatter-ransomware/) CISA Advisory - BlackMatter Ransomware TTPs - [4](https://flashpoint.io/blog/new-ransomware-as-a-service-raas-groups-to-watch-in-2025/) Flashpoint - Landscape RaaS pos-ALPHV (2025) - [5](https://www.bankinfosecurity.com/blogs/blackmatter-ransomware-appears-to-be-spawn-darkside-p-3075) BankInfoSecurity - BlackMatter como DarkSide Rebrand