BlackCat, sucesor de BlackMatter y REvil, se dirige a entornos corporativos con un ransomware personalizable y muy efectivo

BlackCat, sucesor de BlackMatter y REvil, se dirige a entornos corporativos con un ransomware personalizable y muy efectivo

A través del nuevo informe ‘A bad luck BlackCat’, los investigadores de Kaspersky revelan los detalles de dos ciberincidentes protagonizados por el grupo de ransomware BlackCat. La complejidad del malware utilizado, combinada con la amplia experiencia de los individuos que están detrás, convierten a la banda en una de las principales en el panorama actual del ransomware. Las herramientas y técnicas que el grupo despliega durante sus ataques confirman la conexión entre BlackCat y otros grupos de ransomware, como BlackMatter y REvil.

La banda de ransomware BlackCat opera, al menos, desde diciembre de 2021. A diferencia de otros ransomware, el malware de BlackCat está escrito en el lenguaje de programación Rust. Gracias a las avanzadas capacidades de compilación cruzada de Rust, BlackCat puede dirigirse tanto a sistemas Windows como Linux. En otras palabras: BlackCat ha introducido grandes avances y un cambio en las tecnologías utilizadas para afrontar los retos del desarrollo de ransomware.

Además, afirma ser sucesor de grupos de ransomware notorios como BlackMatter y REvil. La telemetría sugiere que al menos algunos miembros del nuevo grupo BlackCat tienen vínculos directos con BlackMatter, ya que utilizan herramientas y técnicas que anteriormente, y de forma amplia, habían sido utilizadas por ellos.

En el nuevo informe ‘A bad luck BlackCat’, los investigadores de Kaspersky arrojan algo de luz sobre dos ciberincidentes de especial interés. Uno demuestra el riesgo que presentan los recursos de alojamiento compartidos en la nube y el otro pone de manifiesto un enfoque ágil del malware personalizado que se reutiliza en la actividad de BlackMatter y BlackCat.

El primer caso se refiere a un ataque contra un proveedor vulnerable de ERP (planificación de recursos empresariales) en Oriente Medio que albergaba varias webs. Los atacantes entregaron simultáneamente dos ejecutables diferentes en el mismo servidor físico, dirigidos a dos organizaciones diferentes alojadas virtualmente en él. A pesar de que la banda confundió al servidor infectado con dos sistemas físicos diferentes, los atacantes dejaron rastros que fueron importantes para determinar el estilo de operación de BlackCat. Los investigadores de Kaspersky determinaron que los ciberdelincuentes explotan el riesgo de los activos compartidos en los recursos de la nube. Además, en este caso, el grupo también entregó un archivo Mimikatz por tandas junto con ejecutables y utilidades de recuperación de contraseñas de red Nirsoft. Un incidente similar tuvo lugar en 2019, cuando REvil, predecesor de la actividad de BlackMatter, pareció penetrar en un servicio en la nube que da soporte a un gran número de centros dentales de Estados Unidos. Es muy probable que BlackCat también haya adoptado algunas de estas antiguas tácticas.

El segundo caso afecta a una empresa de petróleo, gas, minería y construcción de América del Sur y revela la conexión entre la actividad del ransomware BlackCat y BlackMatter. El grupo detrás de este ataque de ransomware (que parece ser diferente al del anterior caso), no solo trató de entregar el ransomware BlackCat en la red objetivo, sino que también precedió su entrega del ransomware a través de la instalación de una utilidad de exfiltración personalizada modificada, llamada «Fendr» por los expertos. También conocida como ExMatter, se había utilizado anteriormente de forma exclusiva por parte de BlackMatter.

‘Después de que los grupos REvil y BlackMatter abandonaran sus operaciones, era cuestión de tiempo que otro grupo de ransomware ocupara su lugar. Los conocimientos sobre el desarrollo de malware, la escritura desde cero en un lenguaje de programación poco habitual y la experiencia en el mantenimiento de infraestructura están convirtiendo al grupo BlackCat en uno de los principales actores del panorama ransomware. Al analizar estos incidentes, hemos puesto en relieve las principales características, herramientas y técnicas utilizadas por BlackCat al penetrar en las redes de sus víctimas. Estos conocimientos nos ayudan a mantener a nuestros usuarios seguros y protegidos de todas las amenazas, tanto conocidas como desconocidas. Instamos a la comunidad de ciberseguridad a unir fuerzas y trabajar juntos contra los nuevos grupos cibercriminales por un futuro más seguro’, señala Dmitry Galov, investigador de seguridad del Equipo de Investigación y Análisis Global de Kaspersky.

Para ayudar a las empresas a estar protegidas del ransomware, los expertos recomiendan aplicar las siguientes medidas:

  • Mantener el software actualizado en todos los dispositivos utilizados por la empresa para evitar que el ransomware aproveche las vulnerabilidades.
  • Formar a los empleados sobre cómo proteger el entorno corporativo, a través de cursos de formación específicos como los que se ofrecen en la Kaspersky Automated Security Awareness Platform.
  • Centrar la estrategia de defensa en la detección de los movimientos laterales y la fuga de datos a Internet. Prestar especial atención al tráfico saliente para detectar las conexiones de los ciberdelincuentes.
  • Hacer copias de seguridad con regularidad y asegurarse de poder acceder a ellas rápidamente en caso de emergencia.
  • Utilizar un sistema de detección de amenazas actualizado para estar al tanto de las TTPs que utilizan los ciberdelincuentes.
  • Utilizar soluciones como Kaspersky Endpoint Detection and Response y Kaspersky Managed Detection and Response, que ayudan a identificar y detener ataques en sus primeras etapas, antes de que los atacantes puedan lograr sus objetivos finales.

Más información sobre BlackCat en Securelist.

Kaspersky

Kaspersky es una compañía global de ciberseguridad y privacidad digital fundada en 1997. La profunda experiencia de Kaspersky en inteligencia de amenazas y seguridad se está continuamente transformando en innovadoras soluciones y servicios de seguridad para proteger a empresas, infraestructuras críticas, gobiernos y consumidores en todo el mundo. El extenso portfolio de productos de seguridad de la empresa incluye su reputada solución de protección de endpoints, junto con una serie de soluciones y servicios de seguridad especializados para combatir las sofisticadas y cambiantes amenazas digitales. Más de 400 millones de usuarios son protegidos por las tecnologías de Kaspersky y ayudamos a 240.000 clientes corporativos a proteger lo que más les importa. Obtenga más información en www.kaspersky.es

Te interesa

Anunciado Age of Empires III: Definitive Edition - Knights of the Mediterranean

Anunciado Age of Empires III: Definitive Edition – Knights of the Mediterranean

El equipo de Age of Empires ha presentado el próximo DLC para Age of Empires III: Definitive Edition, …

Últimas noticias de Frikipandi.com

Las noticias se actualizan cada 15 minutos.