{"id":24715,"date":"2022-04-28T10:10:46","date_gmt":"2022-04-28T16:10:46","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=24715"},"modified":"2022-04-28T10:10:46","modified_gmt":"2022-04-28T16:10:46","slug":"paises-de-america-latina-entre-afectados-por-nuevo-grupo-de-ransomware","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/paises-de-america-latina-entre-afectados-por-nuevo-grupo-de-ransomware\/24715\/","title":{"rendered":"Pa\u00edses de Am\u00e9rica Latina entre afectados por nuevo grupo de ransomware"},"content":{"rendered":"

En un nuevo informe, titulado \u201cA bad luck BlackCat<\/a>\u201c, nuestros investigadores revelan los detalles de dos incidentes cibern\u00e9ticos realizados por el grupo de ransomware<\/em> BlackCat. La complejidad del malware<\/em> utilizado, sumado a la vasta experiencia de los actores que est\u00e1n detr\u00e1s de \u00e9ste, hacen de esta organizaci\u00f3n uno de los principales grupos de ciberdelincuentes que atacan con ransomware<\/em> y que ya opera en Am\u00e9rica Latina. Las herramientas y t\u00e9cnicas implementadas durante los ataques confirman la conexi\u00f3n entre BlackCat y antiguos grupos de ransomware<\/em> peligrosos como BlackMatter y REvil.<\/p>\n

El grupo de ransomware<\/em> BlackCat es un actor de amenazas que opera, al menos, desde diciembre de 2021. A diferencia de muchos actores de ransomware<\/em>, el malware<\/em> BlackCat est\u00e1 escrito en el lenguaje de programaci\u00f3n Rust. Gracias a las funciones avanzadas de compilaci\u00f3n cruzada de Rust, BlackCat puede apuntar a sistemas Windows y Linux. En otras palabras, BlackCat introdujo avances progresivos y un cambio en las tecnolog\u00edas utilizadas para enfrentar los desaf\u00edos del desarrollo de ransomware<\/em>.<\/p>\n

BlackCat afirma<\/a> ser el sucesor de conocidos grupos de ransomware<\/em> como BlackMatter y REvil. La telemetr\u00eda de Kaspersky sugiere que al menos algunos miembros de BlackCat tienen v\u00ednculos directos con BlackMatter, ya que utilizan herramientas y t\u00e9cnicas ampliamente usadas por el grupo.<\/p>\n

De hecho, en los \u00faltimos 12 meses, hemos identificado actividades caracter\u00edsticas de REvil en algunos pa\u00edses de Am\u00e9rica Latina, principalmente en Brasil, Colombia y M\u00e9xico. La empresa tambi\u00e9n ha registrado detecciones afines con BlackMatter en Brasil y Rep\u00fablica Dominicana. Estas detecciones de sus predecesores indican que los ataques de BlackCat se est\u00e1n expandiendo por toda la regi\u00f3n.<\/p>\n

\"\"Ataques de REvil (Sodin, la nomenclatura de Kaspersky) en los \u00faltimos 12 meses<\/em><\/strong><\/p>\n

\u00a0<\/em><\/strong><\/p>\n

\"\"Ataques de BlackMatter en los \u00faltimos 12 meses<\/em><\/strong><\/p>\n

\u00a0<\/em><\/strong>En el informe, los investigadores de la empresa esclarecen dos incidentes cibern\u00e9ticos particularmente interesantes. Uno de ellos demuestra el riesgo que representan los recursos de alojamiento compartido en la nube, y el otro muestra un enfoque \u00e1gil para reutilizar el malware<\/em> personalizado entre las actividades de BlackMatter y BlackCat.<\/p>\n

El primer caso examina un ataque contra un proveedor vulnerable de planificaci\u00f3n de recursos empresariales (ERP) en el Medio Oriente que aloja varios sitios web. Los atacantes entregaron simult\u00e1neamente dos ejecutables diferentes al mismo servidor f\u00edsico, apuntando a dos organizaciones distintas alojadas virtualmente en \u00e9l. Aunque la pandilla interpret\u00f3 incorrectamente el servidor infectado como dos sistemas f\u00edsicos diferentes, los atacantes dejaron rastros que fueron importantes para determinar la forma de operar de BlackCat. Nuestros investigadores concluyeron que el agente explora el riesgo de los activos compartidos entre los recursos de la nube. Adem\u00e1s, en este caso, el grupo tambi\u00e9n entreg\u00f3 un archivo de instrucciones Mimikatz con ejecutables y utilidades de recuperaci\u00f3n de contrase\u00f1a de Nirsoft. Un incidente similar ocurri\u00f3 en 2019 cuando Revil, el predecesor de la actividad de BlackMatter, apareci\u00f3 para irrumpir en un servicio en la nube que respalda la informaci\u00f3n de varios consultorios dentales en Estados Unidos. Es probable que BlackCat tambi\u00e9n haya adoptado algunas de estas t\u00e1cticas m\u00e1s antiguas.<\/p>\n

El segundo caso involucra a una empresa de petr\u00f3leo, gas, miner\u00eda y construcci\u00f3n en Sudam\u00e9rica, y revela la conexi\u00f3n entre BlackCat y las actividades de ransomware<\/em> BlackMatter. Antes de intentar entregar el ransomware<\/em> BlackCat dentro de la red objetivo, el actor detr\u00e1s de este ataque (que parece ser diferente al del caso anterior) tambi\u00e9n instal\u00f3 una utilidad de exfiltraci\u00f3n personalizada modificada que llamamos \u201cFendr\u201d. Esta utilidad, tambi\u00e9n conocida como ExMatter, alguna vez se us\u00f3 exclusivamente como parte de la actividad de ransomware<\/em> de BlackMatter.<\/p>\n

\u201cDespu\u00e9s de que los grupos REvil y BlackMatter quebraron, era solo cuesti\u00f3n de tiempo antes de que otro grupo de ransomware se apoderara de su nicho. El conocimiento del desarrollo de malware, una nueva muestra creada desde cero en un lenguaje de programaci\u00f3n poco com\u00fan y la experiencia en el mantenimiento de la infraestructura est\u00e1n convirtiendo al grupo BlackCat en un jugador importante en el mercado del ransomware. Al revisar estos incidentes importantes, destacamos las caracter\u00edsticas, las herramientas y las t\u00e9cnicas clave utilizadas por BlackCat cuando irrumpe en las redes de sus v\u00edctimas. Este conocimiento nos ayuda a mantener a nuestros usuarios seguros y protegidos frente a amenazas conocidas y desconocidas. Insistimos en que la comunidad de seguridad cibern\u00e9tica debe unir fuerzas y trabajar en conjunto contra los grupos de ciberdelincuentes emergentes para lograr un futuro m\u00e1s seguro\u201d,<\/em> dijo Dmitry Galov, investigador de seguridad del Equipo de an\u00e1lisis e investigaci\u00f3n global de Kaspersky.<\/strong><\/p>\n

Para ayudar a las empresas a protegerse de los ataques de ransomware<\/em>, los expertos recomiendan que las organizaciones tomen las siguientes medidas lo antes posible:<\/p>\n