This post is also available in: Português Español
En un informe titulado “A bad luck BlackCat”, los investigadores de Kaspersky revelaron los detalles de 2 incidentes cibernéticos llevados a cabo por el grupo de ransomware BlackCat.
La complejidad del malware utilizado, junto a la vasta experiencia de los agentes que lo respaldan, convierten a este grupo en uno de los principales grupos de ciberdelincuentes que atacan con ransomware presente en América Latina, con Brasil entre los cinco primeros países del mundo.
BlackCat
A principios de diciembre de 2021, un nuevo grupo de ransomware comenzó a anunciar sus servicios en un foro clandestino ruso. Se presentaron como ALPHV, un grupo de Ransomware-as-a-Service (RaaS) de nueva generación. Poco después, mostraron sus actividades, infectando a innumerables víctimas corporativas en todo el mundo. El grupo también es conocido como BlackCat.
A diferencia de muchos agentes de ransomware, el malware BlackCat está escrito en el lenguaje de programación Rust. Rust es un lenguaje de programación multiparadigma compilado desarrollado por Mozilla Research. Está diseñado para ser «confiable, eficaz y productivo».
Gracias a las funciones avanzadas de compilación cruzada de Rust, BlackCat puede apuntar a sistemas Windows y Linux. En otras palabras, BlackCat marcó el comienzo de avances progresivos y un cambio en las tecnologías utilizadas para superar los desafíos del desarrollo de ransomware.
¿Sucesor de REvil y BlackMatter?
BlackCat se anuncia a sí mismo como el sucesor de notorios grupos de ransomware como BlackMatter y REvil. Los ciberdelincuentes declararon que resolvieron todos los errores y problemas en el desarrollo de ransomware y crearon el producto perfecto en términos de codificación e infraestructura.
Sin embargo, algunos investigadores ven al grupo no solo como los sucesores de los grupos BlackMatter y REvil, sino como un cambio de marca completo. Según Kaspersky, la telemetría sugiere que al menos algunos miembros del nuevo grupo BlackCat, tienen vínculos con el grupo BlackMatter, porque modificaron y reutilizaron una herramienta de exfiltración personalizada, llamada Fendr, y que solo se observó en la actividad de BlackMatter.
Incidentes de especial interés
Dos incidentes recientes que involucran a BlackCat se destacan particularmente interesantes.
Uno demuestra el riesgo que representan los recursos de alojamiento en la nube compartidos y el otro demuestra un enfoque ágil para reutilizar el malware personalizado en las actividades de BlackMatter y BlackCat.
- Primer caso:
Aparentemente, el grupo de ransomware infectó a un proveedor de ERP vulnerable en el Medio Oriente, que aloja varios sitios web.
Los atacantes entregaron dos ejecutables diferentes simultáneamente al mismo servidor físico, apuntando a dos organizaciones diferentes alojadas virtualmente allí.
Los atacantes confundieron el acceso inicial con dos sistemas físicos y unidades diferentes para infectar y cifrar. La cadena de destrucción se activó antes de la actividad de «cifrado previo», pero el verdadero punto de interés aquí radica en las vulnerabilidades compartidas y el riesgo demostrable de los activos compartidos en los recursos de la nube.
Al mismo tiempo, el grupo también entregó un archivo por lotes Mimikats (una aplicación de código abierto que permite a los usuarios ver y guardar sus credenciales de autenticación, como los tickets de Kerberos. El kit de herramientas funciona con la versión actual de Windows e incluye los ataques más avanzados) junto con ejecutables y utilidades de recuperación de contraseña de red de Nirsoft.
- Segundo caso:
Este involucra a una empresa de petróleo, gas, minería y construcción en América del Sur. Este incidente relacionado conecta aún más la actividad del ransomware BlackMatter con BlackCat.
El afiliado detrás de este incidente intentó entregar BlackCat ransomware dentro de la red de destino, pero aproximadamente 1 hora y 40 minutos antes de su entrega, instaló una utilidad de exfiltración personalizada modificada llamada Fendr. Esta utilidad se usaba anteriormente exclusivamente en la actividad del ransomware BlackMatter.
El miembro detrás de este incidente intentó entregar BlackCat ransomware dentro de la red de destino, pero aproximadamente 1 hora y 40 minutos antes de su entrega, instaló una utilidad de exfiltración personalizada modificada llamada Fendr. Esta utilidad se usaba anteriormente exclusivamente en la actividad del ransomware BlackMatter.
Víctimas potenciales de BlackCat
Entre los incidentes de ransomware BlackCat, los expertos de Kaspersky vieron al menos un ataque a una empresa industrial sudamericana involucrada en petróleo, gas, minería y construcción, así como la infección de varios clientes de un proveedor de planificación de recursos empresariales de Asia oriental. Los dos ejemplos citados anteriormente.
Uno de los datos más preocupantes es la evolución de Fendr. Por el momento, la herramienta puede descargar automáticamente una gama mucho más amplia de archivos, en comparación con casos anteriores de ataques del grupo BlackMatter. Los ciberdelincuentes agregaron recientemente la capacidad de encontrar archivos con la siguiente lista de extensiones: .sqlite, .catproduct, .rdp, .accdb, .catpart, .catdrawing, .3ds, .dwt y .dxf. Estos tipos de archivos están relacionados con aplicaciones de diseño industrial y herramientas de acceso remoto, y esto podría ser una señal de que los creadores de malware se dirigen a entornos industriales.
¿Cómo protegerse de esta amenaza?
Para evitar que su empresa pierda información importante, se super recomienda proteger, 1ro todos los dispositivos corporativos con soluciones de seguridad confiables y, 2do, capacitar a los empleados en los conceptos básicos de seguridad de la información de manera regular.
Con el aumento continuo del ransomware como servicio, es más importante que nunca que cualquier organización esté preparada para un incidente y tenga una estrategia anti-ransomware de varias capas para minimizar las posibilidades y el impacto de los ataques.
Fuente: Kaspersky.
This post is also available in: Português Español