blackcat - RunkIntel

# BlackCat > Primeiro ransomware amplamente adotado escrito em Rust. RaaS operado por ex-membros do DarkSide e BlackMatter desde novembro de 2021, com mais de 1.000 vitimas globais e centenas de milhões de dólares extorquidos. Capacidade de criptografar Windows, Linux e VMware ESXi. Disrupcao pelo FBI em dezembro de 2023 - grupo implodiu após exit scam de USD 22 milhões em 2024. ## Visão Geral **BlackCat** (também conhecido como **ALPHV** ou **Noberus**) e o primeiro ransomware amplamente difundido escrito na linguagem **Rust** - escolha estratégica que confere portabilidade cross-platform, resistencia a análise e alto desempenho. Surgiu em novembro de 2021 como rebrand de membros das operações [[darkside|DarkSide]] e [[blackmatter|BlackMatter]], rapidamente se tornando o segundo RaaS mais prolıfico do mundo. O modelo RaaS do BlackCat oferecia afiliados **até 90% dos resgates** - a maior comissao do mercado criminoso na epoca - atraindo os grupos mais sofisticados do ecossistema ransomware, incluindo o [[g1015-scattered-spider|Scattered Spider]]. | Campo | Detalhe | |-------|---------| | MITRE ID | S1068 | | Linguagem | Rust | | Plataformas | Windows, Linux, VMware ESXi | | Ativo | Novembro 2021 - Marco 2024 | | Vitimas | 1.000+ globalmente | | Extorsao | Dupla e tripla (dados + DDoS + notificação de reguladores) | | Disrupcao | FBI dezembro 2023 - exit scam USD 22M fevereiro 2024 | ## Como Funciona ### Token de Acesso Obrigatorio O BlackCat requer um **access token de 32 bytes** como argumento mandatorio: ``` blackcat.exe --access-token <32-byte-hex> ``` Esta medida serve como anti-análise - sandboxes e ferramentas automatizadas nao conseguem executar o payload sem o token correto, protegendo operações de pesquisadores de segurança. ### Criptografia Hibrida Adaptativa - **AES-256** para arquivos (hardware-accelerated se disponível) - **ChaCha20** como fallback em CPUs sem AES-NI - **RSA-4096** encripta as chaves AES/ChaCha20 por arquivo - **16 bytes aleatorios** como material de derivacao de chave por arquivo ### Bypass de UAC via CMSTPLUA Para escalar privilegios sem popup ao usuario: 1. Inicializa COM com `CoInitializeEx(COINIT_APARTMENTTHREADED)` 2. Usa `CoGetObject` para registrar com interface `CMSTPLUA` (CLSID auto-elevado) 3. Modifica Process Environment Block (Masquerade_PEB) para disfarcar PowerShell 4. Resultado: escalada para SYSTEM sem UAC prompt ### Técnicas de Anti-recuperacao ``` vssadmin.exe delete shadows /all /quiet # Remove Volume Shadow Copies wmic.exe Shadowcopy Delete # Método redundante bcdedit /set {default} recoveryenabled no # Desativa Windows Recovery wevtutil.exe cl [eventlogs] # Limpa event logs (T1070.001) ``` ### Tripla Extorsao O BlackCat evoluiu para tripla extorsao: 1. Criptografia de dados locais 2. Ameaça de públicacao de dados exfiltrados (leak site) 3. DDoS no site da vitima + notificação de reguladores sobre violação de dados ## Attack Flow ```mermaid graph TB A["🔑 Acesso Inicial Credenciais comprometidas RDP - VPN sem MFA"] --> B["🔍 Reconhecimento AD Domain accounts T1087.002 Domain groups T1069.002"] B --> C["🔧 Lateral Movement WMI T1047 - PsExec Lateral tool transfer T1570"] C --> D["💥 Privilege Escalation UAC bypass T1548.002 CMSTPLUA COM interface"] D --> E["🗑️ Pre-cifragem Clear event logs T1070.001 Stop services T1489 Delete shadow copies T1490"] E --> F["💀 Cifragem BlackCat Rust - AES-256 ou ChaCha20 Windows + Linux + ESXi"] classDef delivery fill:#c0392b,color:#fff classDef recon fill:#27ae60,color:#fff classDef lateral fill:#3498db,color:#fff classDef privesc fill:#e67e22,color:#fff classDef preenc fill:#9b59b6,color:#fff classDef impact fill:#1a252f,color:#fff class A delivery class B recon class C lateral class D privesc class E preenc class F impact ``` ## Timeline ```mermaid timeline title BlackCat - Ascensao e Queda 2021-11 : Primeira aparicao no forum RAMP : Promovido como ALPHV-ng RaaS 2022 : Segundo RaaS mais prolıfico do mundo : 400+ vitimas nos primeiros meses 2023-Q3 : Ataque MGM Resorts (Scattered Spider) : USD 100M+ em danos operacionais 2023-12 : FBI disrupcao - decryptor obtido : Site de leak derrubado temporariamente 2024-02 : Ataque Change Healthcare : USD 22M de resgaté pago 2024-03 : Exit scam ALPHV - grupo implode : Afiliados abandonam a operação ``` ## TTPs Mapeados | Técnica | ID MITRE | Descrição | |---------|----------|-----------| | Lateral Tool Transfer | [[t1570-lateral-tool-transfer\|T1570]] | Distribuição de ferramentas na rede | | Domain Account Discovery | [[t1087-002-domain-account\|T1087.002]] | Enumeracao de contas no AD | | Domain Groups | [[t1069-002-domain-groups\|T1069.002]] | Identificação de grupos privilegiados | | WMI | [[t1047-windows-management-instrumentation\|T1047]] | Execução remota via WMI | | UAC Bypass | [[t1548-002-bypass-user-account-control\|T1548.002]] | CMSTPLUA COM interface | | Modify Registry | [[t1112-modify-registry\|T1112]] | Configuracoes de persistência | | Clear Windows Event Logs | [[t1070-001-clear-windows-event-logs\|T1070.001]] | Limpeza de evidências | | Service Stop | [[t1489-service-stop\|T1489]] | Para processos de backup e AV | | Data Encrypted for Impact | [[t1486-data-encrypted-for-impact\|T1486]] | AES-256 ou ChaCha20 adaptativo | | Inhibit System Recovery | [[t1490-inhibit-system-recovery\|T1490]] | Deleta shadow copies via vssadmin | | Network Share Discovery | [[t1135-network-share-discovery\|T1135]] | Identifica compartilhamentos para criptografia | | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Credenciais comprometidas como acesso | | Internal Defacement | [[t1491-001-internal-defacement\|T1491.001]] | Nota de resgaté como wallpaper | ## Relevância LATAM O [[socradar|SOCRadar]] documentou 166 ataques de ransomware ao Brasil em 2024, com [[lockbit|LockBit]], [[conti|Conti]] e **BlackCat** entre os tres maiores responsaveis. O Brasil registrou mais vitimas de dupla extorsao de ransomware na América Latina. A capacidade do BlackCat de criptografar **Linux e VMware ESXi** e particularmente relevante para o Brasil, onde muitas empresas de medio e grande porte executam cargas de trabalho criticas em servidores Linux e ambientes de virtualizacao. O [[g1015-scattered-spider|Scattered Spider]] - afiliado de alto perfil do BlackCat - demonstrou capacidade de conduzir engenharia social sofisticada por telefone, adaptavel para alvos em portugues. Organizacoes brasileiras dos setores [[financial|Financeiro]] e [[telecommunications|Telecomúnicacoes]] devem considerar este vetor. ## Ataques de Alto Perfil | Vitima | Data | Impacto | |--------|------|---------| | MGM Resorts | Set/2023 | USD 100M+ danos operacionais | | Change Healthcare | Fev/2024 | USD 22M resgaté pago; disrrupcao nacional de saúde | | Caesars Entertainment | Set/2023 | Resgaté de USD 15M pago | ## Detecção e Defesa **Alertas criticos:** - Token obrigatorio `--access-token` em execução de processos desconhecidos - Enumeracao de grupos AD por contas nao-administrativas - `vssadmin delete shadows` ou equivalente WMI - PowerShell com Masquerade_PEB (processo mascarado no PEB) - Limpeza de event logs via `wevtutil` em massa **Mitigacoes estruturais:** - MFA obrigatorio para RDP, VPN e todos os servicos de acesso remoto - Backup 3-2-1 com copia air-gapped inacessivel via rede - Monitoramento de Active Directory para enumeracao de contas e grupos - Patch de vulnerabilidades de VPN (historico de BlackCat incluı CVEs de acesso inicial) **Sigma rules:** - `win_vssadmin_delete_shadows.yml` - `proc_creation_win_net_stop_service.yml` - `win_susp_com_elevation_via_cmstplua.yml` ## Referências - [1](https://attack.mitre.org/software/S1068/) MITRE ATT&CK - S1068 BlackCat - [2](https://securityscorecard.com/resources/research/deep-dive-into-alphv-blackcat-ransomware/) SecurityScorecard - Deep Dive BlackCat - [3](https://www.varonis.com/blog/blackcat-ransomware) Varonis - BlackCat Analysis - [4](https://www.microsoft.com/en-us/security/blog/2022/06/13/the-many-lives-of-blackcat-ransomware/) Microsoft - The Many Lives of BlackCat - [5](https://socradar.io/lockbit-conti-and-blackcat-166-ransomware-attacks-put-brazil-in-the-crosshairs-in-2024/) SOCRadar - Brasil 166 ataques ransomware 2024 - [6](https://www.justice.gov/archives/opa/pr/justice-department-disrupts-prolific-alphvblackcat-ransomware-variant) DOJ - Disrupcao ALPHV BlackCat --- **Ver também:** [[g1015-scattered-spider]] - [[darkside]] - [[blackmatter]] - [[conti]] - [[g1024-akira]] - [[government|Governo]] - [[healthcare|Saúde]] - [[_malware]]