Atores de ameaças associados ao ransomware BlackCat foram observados empregando truques de malvertising para distribuir instaladores maliciosos do aplicativo de transferência de arquivos WinSCP.

Malvertising refere-se ao uso de técnicas de envenenamento de SEO para espalhar malware por meio de publicidade online.

Normalmente, envolve o sequestro de um conjunto escolhido de palavras-chave para exibir anúncios falsos nas páginas de resultados de pesquisa do Bing e do Google, com o objetivo de redirecionar usuários desavisados para páginas incompletas.

Na cadeia de ataque, os agentes de ameaças conseguiram roubar privilégios de administrador para conduzir atividades pós-exploração e tentaram configurar a persistência usando monitoramento remoto e ferramentas de gerenciamento como AnyDesk, bem como acessar servidores de backup.

Apesar da natureza dinâmica do ecossistema do cibercrime, à medida que os grupos de cibercriminosos vêm e vão, e algumas operações se associam, encerram ou renomeiam seus esquemas motivados financeiramente, o ransomware permanece como uma ameaça constante.