En el tenebroso mundo de la ciberdelincuencia, el ransomware BlackCat ha surgido como una amenaza formidable y sofisticada. Sigue leyendo para obtener más información sobre el funcionamiento interno del ransomware BlackCat y cómo protegerte contra él.
¿Qué es el ransomware BlackCat?
Desde su aparición en noviembre de 2021, BlackCat, también conocido como ALPHV o ALPHV-ng, se ha convertido en una importante amenaza dentro del ámbito del ransomware. Esta cepa de ransomware opera en forma de Ransomware como servicio (RaaS) y se considera una de las operaciones RaaS más sofisticadas. BlackCat destaca por el uso del lenguaje de programación Rust y una escalofriante estrategia de ‘triple extorsión’.
¿Cómo funciona el ransomware BlackCat?
El ransomware BlackCat funciona como software malicioso, y se distingue por el uso poco convencional del lenguaje de programación Rust. Su adaptabilidad se extiende a una gran variedad de dispositivos objetivo y vulnerabilidades potenciales, y a menudo se alinea con grupos de actividad de amenazas establecidos. La malevolencia de BlackCat reside en su enfoque inquebrantable: cifrar los datos de la víctima, exfiltrarlos y emplear una despiadada táctica de "triple extorsión". La triple extorsión no solo implica la amenaza de exponer los datos robados si el rescate sigue sin pagarse, sino que también incluye la ominosa posibilidad de un ataque distribuido de denegación de servicio (DDoS) en caso de que las demandas de rescate no sean satisfechas.
En tanto que operación de Ransomware como servicio (RaaS), el modelo de negocio de BlackCat gira en torno a permitir que otros ciberdelincuentes utilicen su ransomware, lleven a cabo sus propias campañas y se embolsen una parte sustancial de los beneficios, superando el estándar del sector del 70 %. El atractivo de BlackCat se ve reforzado por sus amplias opciones de personalización, que hacen que incluso los afiliados menos experimentados sean capaces de orquestar sofisticados ataques contra entidades corporativas. Aunque las peticiones de rescate de BlackCat suelen ascender a millones, el pago anticipado puede garantizar descuentos. Sin embargo, las organizaciones deben actuar con cautela a la hora de contemplar el pago, ya que este puede financiar inadvertidamente actividades delictivas, sin garantía de recuperación de los archivos.
Normalmente, los autores de BlackCat exigen pagos en criptomonedas como Bitcoin, a cambio de la elusiva clave de descifrado. Además, las víctimas se enfrentan a mensajes en pantalla que les indican cómo enviar el rescate y obtener la clave de descifrado, lo que intensifica aún más la presión de la campaña de extorsión.
¿Cómo se propaga el ransomware BlackCat?
Los principales vectores de ataque de BlackCat son los correos electrónicos infectados y los enlaces a sitios web maliciosos, que atraen a usuarios desprevenidos a su trampa. Una vez dentro, la virulencia de BlackCat garantiza una proliferación rápida y generalizada por todo el sistema.
Lo que distingue a BlackCat de otras variantes de ransomware es su uso del lenguaje de programación Rust. Rust destaca por sus excepcionales atributos, como la velocidad, la estabilidad, la gestión superior de la memoria y su capacidad para eludir los métodos de detección establecidos. Estas características lo convierten en una potente herramienta en manos de los ciberdelincuentes. Cabe destacar que la adaptabilidad de BlackCat se extiende a plataformas distintas de Windows, como Linux, que suelen enfrentarse a menos amenazas de malware. Esto plantea retos únicos a los administradores de Linux encargados de combatir esta amenaza en constante evolución.
La flexibilidad de BlackCat se ve subrayada por un archivo de configuración JSON, que permite a los usuarios seleccionar entre cuatro algoritmos de cifrado diferentes, personalizar las notas de rescate, especificar exclusiones para archivos, carpetas y extensiones, y definir servicios y procesos para la terminación, garantizando un proceso de cifrado sin fisuras. Además, la capacidad de configuración de BlackCat se extiende al uso de credenciales de dominio, lo que mejora su capacidad de propagación a otros sistemas.
BlackCat también se ha aventurado más allá de los confines de la web oscura, estableciendo un sitio web de filtración de datos en la Internet pública. Mientras que otros grupos suelen utilizar estos sitios en la web oscura para demostrar las filtraciones de datos y coaccionar a las víctimas para que paguen rescates, el sitio público de BlackCat cambia las reglas del juego al ofrecer visibilidad a un público más amplio, incluidos clientes actuales y potenciales, accionistas y periodistas.
Víctimas típicas del ransomware BlackCat
En línea con el modus operandi de las principales amenazas de ransomware de cazadores de presas importantes, las víctimas típicas del ransomware BlackCat son organizaciones de tamaño considerable, elegidas estratégicamente para maximizar el pago potencial del rescate. Los informes indican que los rescates exigidos han variado sustancialmente y oscilan entre cientos de miles y muchos millones de dólares, a pagar en criptomoneda.
Aunque el número exacto de víctimas sigue siendo incierto, la amenazadora presencia de BlackCat es evidente en la revelación de más de veinte organizaciones objetivo en el sitio de filtraciones Tor del grupo. Estas víctimas abarcan diversos sectores y países, como Alemania, Australia, Bahamas, España, Estados Unidos, Filipinas, Francia, Italia, Países Bajos y Reino Unido. Los sectores afectados abarcan un amplio espectro, desde los servicios empresariales, la construcción y la energía hasta la moda, las finanzas, la logística, la fabricación, la industria farmacéutica, el comercio minorista y la tecnología.
Ejemplos de ataques del ransomware BlackCat
Noviembre de 2023 – Heny Schein
En noviembre de 2023, el ransomware BlackCat tuvo como objetivo la organización sanitaria Henry Schein, incluida en la lista Fortune 500. Según los informes, esta banda de ransomware, también conocida como ALPHV, afirmó haber robado 35 TB de datos y haber iniciado negociaciones con Henry Schein. Inicialmente, la empresa recibió una clave de descifrado y comenzó a restaurar sus sistemas, pero la banda volvió a cifrarlo todo cuando se rompieron las negociaciones. La situación se agravó cuando la banda amenazó con hacer públicos datos internos, pero más tarde los borraron de su sitio web, insinuando un posible acuerdo. El ataque se produjo dos semanas antes de que los datos se publicaran en Internet, lo que provocó una interrupción temporal de las operaciones de Henry Schein. La empresa tomó medidas de precaución, denunció el incidente a la policía y contrató a expertos forenses para la investigación.
Agosto de 2023 – Seiko Group Corporation
Seiko Group Corporation confirmó una filtración de datos por parte de la banda de ransomware BlackCat en agosto de 2023 que afectó a 60 000 registros expuestos. Los datos afectados incluían registros de clientes, contactos de transacciones comerciales, datos de solicitantes de empleo e información de personal. Afortunadamente, los datos de las tarjetas de crédito permanecieron seguros. En respuesta, Seiko llevó a cabo una serie de medidas de seguridad, como el bloqueo de la comunicación con servidores externos, el despliegue de sistemas EDR y la implantación de la autenticación multifactor. Seiko confirmó sus planes de colaborar con expertos en ciberseguridad para reforzar la seguridad y prevenir futuros incidentes.
Cómo protegerse de los ataques de ransomware de BlackCat
La defensa de tus sistemas y datos contra el ransomware BlackCat es similar a las medidas de protección empleadas para frustrar otras variantes de ransomware. Estas protecciones incluyen:
Formación de los empleados:
Formar a los empleados para contrarrestar el ransomware BlackCat y otras amenazas de malware implica varios puntos clave:
- La formación debe incluir la identificación de correos electrónicos de phishing, un método habitual de distribución de ransomware.
- Los correos electrónicos de phishing suelen hacerse pasar por fuentes fiables, como bancos o empresas de transporte. Pueden contener archivos adjuntos maliciosos o enlaces que pueden instalar ransomware.
- Es crucial tener precaución al manejar correos electrónicos de remitentes desconocidos y evitar descargas no autorizadas.
- Los empleados deben mantener actualizados el software y los programas antivirus y saber cómo informar de actividades sospechosas al personal informático o de seguridad.
- La formación periódica sobre seguridad mantiene a los empleados bien informados sobre las últimas amenazas de ransomware y las mejores prácticas de prevención. Esto reduce el riesgo de un incidente de ransomware BlackCat y otros peligros de ciberseguridad.
Cifrado de datos y controles de acceso:
Proteger los datos confidenciales es una defensa sólida contra el ransomware de BlackCat y amenazas similares. Mediante el despliegue de controles de cifrado y acceso, las organizaciones pueden mitigar significativamente el riesgo de infección por el ransomware de BlackCat y las posibles consecuencias de un ataque exitoso:
- El cifrado consiste en convertir los datos en un código que es prácticamente indescifrable sin la correspondiente clave de descifrado.
- Esto protege los datos incluso si el ransomware se infiltra en el sistema y accede a la información cifrada.
- Los datos críticos, incluidos los registros financieros, la información personal y los archivos empresariales esenciales, deben ser cifrados sistemáticamente.
- Se pueden emplear varias herramientas de cifrado, como BitLocker para Windows o FileVault para Mac, o software de cifrado de terceros.
- La implantación de controles de acceso es igualmente vital para restringir el acceso a los datos, utilizando procesos de autenticación y autorización de usuarios basados en las responsabilidades del puesto y en sólidos requisitos de contraseña.
- Incluso si una amenaza consigue acceder a los datos cifrados, estos seguirán siendo inaccesibles sin la clave de descifrado, que debe almacenarse de forma segura y separada de los datos cifrados.
Copia de seguridad de datos:
Realizar copias de seguridad de los datos con regularidad es una de las defensas más eficaces contra el ransomware BlackCat y otros programas maliciosos similares:
- Consiste en crear duplicados de archivos vitales y almacenarlos en una ubicación separada, como un disco duro externo, almacenamiento en la nube o un ordenador distinto.
- En caso de infección por el ransomware BlackCat, los archivos afectados se pueden borrar y los datos se pueden restaurar desde la copia de seguridad, eliminando la necesidad de pagar un rescate o arriesgarse a la pérdida permanente de archivos.
- Es importante que las copias de seguridad se almacenen en un lugar aislado del ordenador principal o de la red para evitar ponerlos en peligro. Las opciones de almacenamiento recomendadas incluyen ubicaciones separadas físicamente o servicios de almacenamiento en la nube de confianza con protocolos sólidos de seguridad y cifrado.
Actualizaciones de software:
La actualización periódica del software protege contra el ransomware BlackCat y otros programas maliciosos relacionados:
- Las actualizaciones suelen incluir parches de seguridad que abordan vulnerabilidades explotables por los atacantes de ransomware. Los proveedores de software publican actualizaciones cuando se descubren vulnerabilidades para evitar su explotación.
- Estas actualizaciones incluyen parches de seguridad, correcciones de errores y nuevas funciones. Descuidar estas actualizaciones puede hacer que los sistemas sean vulnerables a los ataques.
- Los atacantes suelen atacar software obsoleto, como sistemas operativos, navegadores web y complementos. La instalación constante de actualizaciones aumenta la seguridad y dificulta a los atacantes la explotación de vulnerabilidades.
- El empleo de software de gestión automatizada de parches agiliza aún más el proceso de actualización, automatizando las instalaciones, programando las actualizaciones en horas no operativas y proporcionando informes de estado detallados sobre las actualizaciones del sistema. Esta combinación de actualizaciones periódicas y gestión automatizada de parches reduce el riesgo de infecciones por ransomware BlackCat y otras ciberamenazas.
Uso de herramientas de ciberseguridad:
Aunque la aplicación de las medidas anteriores puede mejorar sustancialmente su defensa contra el ransomware BlackCat, es crucial complementar estas estrategias con el uso de productos de ciberseguridad específicos. Por ejemplo:
- Kaspersky Premium ofrece una protección completa contra una gran variedad de ciberamenazas, incluido el ransomware, con detección de amenazas en tiempo real, cortafuegos avanzados y actualizaciones automáticas para una seguridad continua.
- Kaspersky VPN mejora la seguridad en línea cifrando tu conexión a Internet y dirigiéndola a través de servidores seguros, lo que la hace ideal para proteger tus datos, especialmente en redes Wi-Fi públicas.
- Para una mayor protección contra el ransomware, Kaspersky Password Manager almacena y genera de forma segura contraseñas seguras y únicas para tus cuentas en línea, reduciendo el riesgo de infracciones por contraseñas débiles o reutilizadas.
En conclusión, dado que el panorama de las amenazas sigue evolucionando, nunca se insistirá lo suficiente en la importancia de combinar unas prácticas de ciberseguridad sólidas con herramientas de vanguardia. La aplicación de un enfoque holístico que incluya la formación de los empleados, el cifrado de datos, los controles de acceso, las copias de seguridad periódicas de los datos y las actualizaciones de software, junto con el uso de productos de ciberseguridad, maximizará tu seguridad en línea y te ayudará a defenderte contra el ransomware BlackCat y otras amenazas maliciosas.
Preguntas frecuentes sobre el ransomware BlackCat
¿Qué es el ransomware BlackCat?
BlackCat, también conocido como ALPHV o ALPHV-ng, surgió en noviembre de 2021 y desde entonces se ha convertido en una amenaza importante en el panorama del ransomware. BlackCat opera en forma de Ransomware como servicio (RaaS) y se considera una de las operaciones de RaaS más avanzadas hasta la fecha. BlackCat destaca por su uso del lenguaje de programación Rust y un formidable enfoque de ‘triple extorsión’.
¿Cuáles son algunos ejemplos de víctimas del ransomware BlackCat?
BlackCat se dirige estratégicamente a las grandes organizaciones para el pago de rescates sustanciales, exigiendo sumas variables, por lo general de cientos de miles a millones de dólares en criptomoneda. Se han identificado más de veinte organizaciones de víctimas en el sitio de filtraciones Tor del grupo, procedentes de múltiples países de todo el mundo. Los sectores objetivo de estas organizaciones son los servicios empresariales, la construcción, la energía, la moda, las finanzas, la logística, la fabricación, la industria farmacéutica, el comercio minorista y la tecnología.
Productos relacionados:
Artículos relacionados: