{"id":24673,"date":"2022-04-21T10:21:23","date_gmt":"2022-04-21T16:21:23","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=24673"},"modified":"2022-04-21T10:21:23","modified_gmt":"2022-04-21T16:21:23","slug":"black-cat-ransomware","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/black-cat-ransomware\/24673\/","title":{"rendered":"BlackCat: un nuevo jugador en el negocio del ransomware"},"content":{"rendered":"<p>No hay mercado que acepte el vac\u00edo y esto tambi\u00e9n se aplica al <em>ransomware<\/em>. Despu\u00e9s de que los grupos BlackMatter y REvil pararan sus operaciones, era solo cuesti\u00f3n de tiempo para que aparecieran nuevos jugadores. Uno de ellos es el grupo ALPHV, conocido tambi\u00e9n como BlackCat, que en diciembre del a\u00f1o pasado public\u00f3 anuncios de sus servicios en foros de ciberdelincuentes. Tras varios incidentes, nuestro equipo de expertos en an\u00e1lisis e investigaci\u00f3n global (GReAT) se propusieron estudiar con detenimiento la actividad de dicho grupo y publicar un informe completo en el <a href=\"https:\/\/securelist.com\/a-bad-luck-blackcat\/106254\/\" target=\"_blank\" rel=\"noopener\">sitio web de Securelist<\/a>.<\/p>\n<p>En sus anuncios, los atacantes aseguraban haber estudiado los errores y problemas de sus predecesores para crear una versi\u00f3n mejorada del <em>malware<\/em>. No obstante, hay indicios de que su conexi\u00f3n con los grupos BlackMatter y REvil puede ser mucho m\u00e1s cercana de lo que quieren aparentar.<\/p>\n<h1>\u00bfQui\u00e9n es el grupo BlackCat y qu\u00e9 herramientas usa?<\/h1>\n<p>Los creadores del <em>ransomware<\/em> BlackCat ofrecen sus servicios bajo la estrategia <em>ransomware<\/em> como servicio (RaaS por sus siglas en ingl\u00e9sDicho de otro modo, otorgan acceso a su infraestructura y c\u00f3digo malicioso a otros atacantes y, a cambio, obtienen una parte del rescate. Adem\u00e1s, es probable que los miembros de dicho grupo sean tambi\u00e9n los responsables de negociar con las v\u00edctimas. Por ende, lo \u00fanico que tendr\u00eda que hacer su \u201cfranquiciado\u201d tal cual es acceder al entorno corporativo. Este principio de \u201ctodo est\u00e1 bajo control\u201d es la raz\u00f3n por la que BlackCat ha ganado impulso tan r\u00e1pidamente: su <em>malware<\/em>\u00a0ya se usa para atacar a empresas alrededor del mundo.<\/p>\n<p>El arsenal de BlackCat consta de varios elementos. El primero es el cifrador del mismo nombre que est\u00e1 escrito en lenguaje Rust, gracias al cual los atacantes lograron crear una herramienta multiplataforma con versiones del <em>malware<\/em>\u00a0que funcionan tanto en Windows como en Linux.<\/p>\n<p>En segundo lugar, est\u00e1 la utilidad Fendr, que es usada para obtener datos de la infraestructura infectada. El uso de esta herramienta sugiere que BlackCat pueda ser simplemente un cambio de imagen de BlackMatter: el \u00fanico grupo conocido que usaba esta herramienta, tambi\u00e9n conocido como ExMatter.<\/p>\n<p>BlackCat tambi\u00e9n utiliza la herramienta PsExec para el movimiento lateral en la red de la v\u00edctima; Mimikatz, el conocido <em>software<\/em> de los ciberdelincuentes, y el software Nirsoft para extraer contrase\u00f1as de red.<\/p>\n<p>Para m\u00e1s informaci\u00f3n t\u00e9cnica sobre las herramientas y m\u00e9todos de BlackCat, as\u00ed como los indicadores de compromiso, visita <a href=\"https:\/\/securelist.com\/a-bad-luck-blackcat\/106254\/\" target=\"_blank\" rel=\"noopener\">este blog de Securelist<\/a>.<\/p>\n<h1>\u00bfQui\u00e9nes son las v\u00edctimas de BlackCat?<\/h1>\n<p>Entre los incidentes del <em>ransomware<\/em>\u00a0BlackCat, nuestros expertos vieron al menos un ataque a una empresa industrial sudamericana que se involucra en los \u00e1mbitos del petr\u00f3leo, gas, miner\u00eda y construcci\u00f3n, as\u00ed como la infecci\u00f3n de varios clientes de un proveedor de planificaci\u00f3n de recursos empresariales de Oriente Medio.<\/p>\n<p>Uno de los hechos m\u00e1s preocupantes es la evoluci\u00f3n de Fendr. Al momento, la herramienta puede descargar autom\u00e1ticamente una gama de archivos mucho m\u00e1s amplia, compar\u00e1ndola con ataques grupales de BlackMatter hechos con anterioridad. Los ciberdelincuentes a\u00f1adieron recientemente la capacidad de encontrar archivos con la siguiente lista de extensiones: .sqlite, .catproduct, .rdp, .accdb, .catpart, .catdrawing, .3ds, .dwt y .dxf. Este tipo de archivos se relacionan con aplicaciones de dise\u00f1o industrial y herramientas de acceso remoto, y esto puede significar que los creadores del <em>malware <\/em>apunten en este momento a entornos industriales.<\/p>\n<h1>\u00bfC\u00f3mo mantenerse a salvo?<\/h1>\n<p>Para evitar que tu empresa pierda informaci\u00f3n de relevancia, en primer lugar, te recomendamos proteger todos los dispositivos corporativos utilizando <a href=\"https:\/\/latam.kaspersky.com\/small-to-medium-business-security?icid=es-LA_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">soluciones de seguridad de confianza<\/a> y, en segundo lugar, dar a conocer a <a href=\"https:\/\/k-asap.com\/es\/?icid=es-LA_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder____kasap___\" target=\"_blank\" rel=\"noopener\">los empleados los conceptos b\u00e1sicos de la seguridad de la informaci\u00f3n<\/a> de manera peri\u00f3dica.<\/p>\n<p>Debido a que el <em>ransomware<\/em>\u00a0como servicio va al alza, es m\u00e1s importante que nunca que cualquier empresa se prepare para un incidente y cuente con una <a href=\"https:\/\/latam.kaspersky.com\/blog\/anti-ransomware-strategy\/24663\/\" target=\"_blank\" rel=\"noopener\">estrategia <em>antiransomware<\/em><\/a> de varios niveles.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-trial\">\n<p>\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Nuestros expertos han investigado la actividad y herramientas del grupo de ransomware BlackCat.<\/p>\n","protected":false},"author":2526,"featured_media":24675,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2795,3539,3540],"tags":[2613,472],"class_list":{"0":"post-24673","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-cifradores","11":"tag-ransomware"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/black-cat-ransomware\/24673\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/black-cat-ransomware\/24055\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/black-cat-ransomware\/19541\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/black-cat-ransomware\/26379\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/black-cat-ransomware\/24326\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/black-cat-ransomware\/27085\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/black-cat-ransomware\/33086\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/black-cat-ransomware\/10634\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/black-cat-ransomware\/44120\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/black-cat-ransomware\/18784\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/black-cat-ransomware\/19314\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/black-cat-ransomware\/28475\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/black-cat-ransomware\/24954\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/black-cat-ransomware\/30406\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/black-cat-ransomware\/30174\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/ransomware\/","name":"ransomware"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/24673","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2526"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=24673"}],"version-history":[{"count":2,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/24673\/revisions"}],"predecessor-version":[{"id":24676,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/24673\/revisions\/24676"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/24675"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=24673"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=24673"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=24673"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}