No hay mercado que acepte el vacío y esto también se aplica al ransomware. Después de que los grupos BlackMatter y REvil pararan sus operaciones, era solo cuestión de tiempo para que aparecieran nuevos jugadores. Uno de ellos es el grupo ALPHV, conocido también como BlackCat, que en diciembre del año pasado publicó anuncios de sus servicios en foros de ciberdelincuentes. Tras varios incidentes, nuestro equipo de expertos en análisis e investigación global (GReAT) se propusieron estudiar con detenimiento la actividad de dicho grupo y publicar un informe completo en el sitio web de Securelist.

En sus anuncios, los atacantes aseguraban haber estudiado los errores y problemas de sus predecesores para crear una versión mejorada del malware. No obstante, hay indicios de que su conexión con los grupos BlackMatter y REvil puede ser mucho más cercana de lo que quieren aparentar.

¿Quién es el grupo BlackCat y qué herramientas usa?

Los creadores del ransomware BlackCat ofrecen sus servicios bajo la estrategia ransomware como servicio (RaaS por sus siglas en inglésDicho de otro modo, otorgan acceso a su infraestructura y código malicioso a otros atacantes y, a cambio, obtienen una parte del rescate. Además, es probable que los miembros de dicho grupo sean también los responsables de negociar con las víctimas. Por ende, lo único que tendría que hacer su “franquiciado” tal cual es acceder al entorno corporativo. Este principio de “todo está bajo control” es la razón por la que BlackCat ha ganado impulso tan rápidamente: su malware ya se usa para atacar a empresas alrededor del mundo.

El arsenal de BlackCat consta de varios elementos. El primero es el cifrador del mismo nombre que está escrito en lenguaje Rust, gracias al cual los atacantes lograron crear una herramienta multiplataforma con versiones del malware que funcionan tanto en Windows como en Linux.

En segundo lugar, está la utilidad Fendr, que es usada para obtener datos de la infraestructura infectada. El uso de esta herramienta sugiere que BlackCat pueda ser simplemente un cambio de imagen de BlackMatter: el único grupo conocido que usaba esta herramienta, también conocido como ExMatter.

BlackCat también utiliza la herramienta PsExec para el movimiento lateral en la red de la víctima; Mimikatz, el conocido software de los ciberdelincuentes, y el software Nirsoft para extraer contraseñas de red.

Para más información técnica sobre las herramientas y métodos de BlackCat, así como los indicadores de compromiso, visita este blog de Securelist.

¿Quiénes son las víctimas de BlackCat?

Entre los incidentes del ransomware BlackCat, nuestros expertos vieron al menos un ataque a una empresa industrial sudamericana que se involucra en los ámbitos del petróleo, gas, minería y construcción, así como la infección de varios clientes de un proveedor de planificación de recursos empresariales de Oriente Medio.

Uno de los hechos más preocupantes es la evolución de Fendr. Al momento, la herramienta puede descargar automáticamente una gama de archivos mucho más amplia, comparándola con ataques grupales de BlackMatter hechos con anterioridad. Los ciberdelincuentes añadieron recientemente la capacidad de encontrar archivos con la siguiente lista de extensiones: .sqlite, .catproduct, .rdp, .accdb, .catpart, .catdrawing, .3ds, .dwt y .dxf. Este tipo de archivos se relacionan con aplicaciones de diseño industrial y herramientas de acceso remoto, y esto puede significar que los creadores del malware apunten en este momento a entornos industriales.

¿Cómo mantenerse a salvo?

Para evitar que tu empresa pierda información de relevancia, en primer lugar, te recomendamos proteger todos los dispositivos corporativos utilizando soluciones de seguridad de confianza y, en segundo lugar, dar a conocer a los empleados los conceptos básicos de la seguridad de la información de manera periódica.

Debido a que el ransomware como servicio va al alza, es más importante que nunca que cualquier empresa se prepare para un incidente y cuente con una estrategia antiransomware de varios niveles.