El nuevo informe ‘A badluckBlackCat’, de Kaspersky, revela los detalles de dos ciberincidentes protagonizados por el grupo de ransomware BlackCat. La complejidad del malware utilizado, combinada con la amplia experiencia de los individuos que están detrás, convierten a la banda en una de las principales en el panorama actual del ransomware. Las herramientas y técnicas que el grupo despliega durante sus ataques confirman la conexión entre BlackCat y otros grupos de ransomware, como BlackMatter y REvil.
La banda de ransomware BlackCat opera, al menos, desde diciembre de 2021. A diferencia de otros ransomware, el malware de BlackCat está escrito en el lenguaje de programación Rust. Gracias a las avanzadas capacidades de compilación cruzada de Rust, BlackCat puede dirigirse tanto a sistemas Windows como Linux. En otras palabras: BlackCat ha introducido grandes avances y un cambio en las tecnologías utilizadas para afrontar los retos del desarrollo de ransomware.
Además, afirma ser sucesor de grupos de ransomware notorios como BlackMatter y REvil. La telemetría sugiere que al menos algunos miembros del nuevo grupo BlackCat tienen vínculos directos con BlackMatter, ya que utilizan herramientas y técnicas que anteriormente, y de forma amplia, habían sido utilizadas por ellos.
En el nuevo informe ‘A badluckBlackCat’, se arroja algo de luz sobre dos ciberincidentes de especial interés. Uno demuestra el riesgo que presentan los recursos de alojamiento compartidos en la nube y el otro pone de manifiesto un enfoque ágil del malware personalizado que se reutiliza en la actividad de BlackMatter y BlackCat.
El primer caso se refiere a un ataque contra un proveedor vulnerable de ERP (planificación de recursos empresariales) en Oriente Medio que albergaba varias webs. Los atacantes entregaron simultáneamente dos ejecutables diferentes en el mismo servidor físico, dirigidos a dos organizaciones diferentes alojadas virtualmente en él. A pesar de que la banda confundió al servidor infectado con dos sistemas físicos diferentes, los atacantes dejaron rastros que fueron importantes para determinar el estilo de operación de BlackCat. Los investigadores de Kaspersky determinaron que los ciberdelincuentes explotan el riesgo de los activos compartidos en los recursos de la nube. Además, en este caso, el grupo también entregó un archivo Mimikatzpor tandas junto con ejecutables y utilidades de recuperación de contraseñas de red Nirsoft. Un incidente similar tuvo lugar en 2019, cuando REvil, predecesor de la actividad de BlackMatter, pareció penetrar en un servicio en la nube que da soporte a un gran número de centros dentales de Estados Unidos. Es muy probable que BlackCat también haya adoptado algunas de estas antiguas tácticas.
El segundo caso afecta a una empresa de petróleo, gas, minería y construcción de América del Sur y revela la conexión entre la actividad del ransomware BlackCat y BlackMatter. El grupo detrás de este ataque de ransomware (que parece ser diferente al del anterior caso), no solo trató de entregar el ransomware BlackCaten la red objetivo, sino que también precedió su entrega del ransomware a través de la instalación de una utilidad de exfiltración personalizada modificada, llamada «Fendr» por los expertos. También conocida como ExMatter, se había utilizado anteriormente de forma exclusiva por parte de BlackMatter.
‘Después de que los grupos REvil y BlackMatter abandonaran sus operaciones, era cuestión de tiempo que otro grupo de ransomware ocupara su lugar. Los conocimientos sobre el desarrollo de malware, la escritura desde cero en un lenguaje de programación poco habitual y la experiencia en el mantenimiento de infraestructura están convirtiendo al grupo BlackCat en uno de los principales actores del panorama ransomware. Al analizar estos incidentes, hemos puesto en relieve las principales características, herramientas y técnicas utilizadas por BlackCat al penetrar en las redes de sus víctimas. Estos conocimientos nos ayudan a mantener a nuestros usuarios seguros y protegidos de todas las amenazas, tanto conocidas como desconocidas. Instamos a la comunidad de ciberseguridad a unir fuerzas y trabajar juntos contra los nuevos grupos cibercriminales por un futuro más seguro’, señala DmitryGalov, investigador de seguridad del Equipo de Investigación y Análisis Global de Kaspersky.
Para ayudar a las empresas a estar protegidas del ransomware, los expertos recomiendan aplicar las siguientes medidas:
- Mantener el software actualizado en todos los dispositivos utilizados por la empresa para evitar que el ransomware aproveche las vulnerabilidades.
- Formar a los empleados sobre cómo proteger el entorno corporativo, a través de cursos de formación específicos
- Centrar la estrategia de defensa en la detección de los movimientos laterales y la fuga de datos a Internet. Prestar especial atención al tráfico saliente para detectar las conexiones de los ciberdelincuentes.
- Hacer copias de seguridad con regularidad y asegurarse de poder acceder a ellas rápidamente en caso de emergencia.
- Utilizar un sistema de detección de amenazas actualizado para estar al tanto de las TTPs que utilizan los ciberdelincuentes.
Me interesa
- 6 propuestas para responder a los retos de ciberseguridad de las pymes españolas
- El aumento del phishing empresarial obliga a las empresas a replantearse sus políticas de protección de datos
- 8 simples pasos para proteger los teléfonos móviles frente a los ciberataques
- Gestión de amenazas internas: ¿están seguros tus datos?