Ningún mercado acepta el vacío y esto también se aplica al ransomware. Después de que los grupos BlackMatter y REvil cesaran sus operaciones, la aparición de nuevos jugadores era solo cuestión de tiempo.
Uno de ellos es el grupo ALPHV, también conocido como BlackCat, que en diciembre del año pasado publicó anuncios de sus servicios en foros de ciberdelincuentes. Después de varios incidentes, nuestros expertos del equipo de análisis e investigación global (GReAT) decidieron estudiar detenidamente la actividad de este grupo y publicar un informe completo en el sitio web de Securelist.
En sus anuncios, los atacantes afirmaban haber estudiado los errores y problemas de sus predecesores para crear una versión mejorada del malware. Sin embargo, hay indicios de que su conexión con los grupos BlackMatter y REvil puede ser mucho más íntima de lo que intentan mostrar.
¿Quién es el grupo BlackCat y qué herramientas usa?
Los creadores del ransomware BlackCat ofrecen sus servicios bajo la estrategia ransomware como servicio (RaaS por sus siglas en inglés).
En otras palabras, brindan a otros atacantes acceso a su infraestructura y código malicioso y, a cambio, obtienen una parte del rescate. Además, probablemente los miembros de este grupo también sean responsables de las negociaciones con las víctimas. Por lo tanto, lo único que tendría que hacer su “franquiciado” por sí mismo es acceder al entorno corporativo. Este principio de “tenemos todo bajo control” es la razón por la que BlackCat ha ganado impulso tan rápidamente: su malware ya se usa para atacar a empresas de todo el mundo.
El arsenal de BlackCat consta de varios elementos. El primero es el cifrador del mismo nombre que está escrito en lenguaje Rust, gracias al cual los atacantes lograron crear una herramienta multiplataforma con versiones del malware que funcionan tanto en entornos Windows como Linux.
En segundo lugar, está la utilidad Fendr, que se utiliza para extraer datos de la infraestructura infectada. El uso de esta herramienta sugiere que BlackCat pueda ser simplemente un cambio de imagen de BlackMatter: el único grupo conocido que usaba esta herramienta, también conocido como ExMatter.
BlackCat también utiliza la herramienta PsExec para el movimiento lateral en la red de la víctima; Mimikatz, el conocido software de los ciberdelincuentes, y el software Nirsoft para extraer contraseñas de red.
Para más información técnica sobre los métodos y herramientas de BlackCat, así como los indicadores de compromiso, visita este artículo de Securelist.
¿Quiénes son las víctimas de BlackCat?
Entre los incidentes del ransomware BlackCat, nuestros expertos vieron al menos un ataque a una empresa industrial sudamericana involucrada en petróleo, gas, minería y construcción, así como la infección de varios clientes de un proveedor de planificación de recursos empresariales de Oriente Medio.
Uno de los hechos más preocupantes es la evolución de Fendr. Por el momento, la herramienta puede descargar automáticamente una gama mucho más amplia de archivos, en comparación con casos anteriores de ataques grupales de BlackMatter.
Los ciberdelincuentes añadieron recientemente la capacidad de encontrar archivos con la siguiente lista de extensiones: .sqlite, .catproduct, .rdp, .accdb, .catpart, .catdrawing, .3ds, .dwt y .dxf. Este tipo de archivos están relacionados con aplicaciones de diseño industrial y herramientas de acceso remoto, y esto puede significar que los creadores del malware se dirijan ahora a entornos industriales.
¿Cómo mantenerse a salvo?
Para evitar que tu empresa pierda información de relevancia, en primer lugar, te recomendamos proteger todos los dispositivos corporativos utilizando soluciones de seguridad de confianza y, en segundo lugar, dar a conocer a los empleados los conceptos básicos de la seguridad de la información de forma periódica.
Dado que el ransomware como servicio va en aumento, es más importante que nunca que cualquier empresa esté preparada para el incidente y cuente con una estrategia antiransomware de varios niveles.