BlackCat se dirige a entornos corporativos con un ransomware personalizable

A través del nuevo informe ‘A bad luck BlackCat’, los investigadores de Kaspersky revelan los detalles de dos ciberincidentes protagonizados por el grupo de ransomware BlackCat.

La complejidad del malware utilizado, combinada con la amplia experiencia de los individuos que están detrás, convierten a la banda en una de las principales en el panorama actual del ransomware. Las herramientas y técnicas que el grupo despliega durante sus ataques confirman la conexión entre BlackCat y otros grupos de ransomware, como BlackMatter y REvil.

La banda de ransomware BlackCat opera, al menos, desde diciembre de 2021. A diferencia de otros ransomware, el malware de BlackCat está escrito en el lenguaje de programación Rust. Gracias a las avanzadas capacidades de compilación cruzada de Rust, BlackCat puede dirigirse tanto a sistemas Windows como Linux. En otras palabras: BlackCat ha introducido grandes avances y un cambio en las tecnologías utilizadas para afrontar los retos del desarrollo de ransomware. 

Además, afirma ser sucesor de grupos de ransomware notorios como BlackMatter y REvil. La telemetría sugiere que al menos algunos miembros del nuevo grupo BlackCat tienen vínculos directos con BlackMatter, ya que utilizan herramientas y técnicas que anteriormente, y de forma amplia, habían sido utilizadas por ellos.

En el nuevo informe ‘A bad luck BlackCat’, los investigadores de Kaspersky arrojan algo de luz sobre dos ciberincidentes de especial interés. Uno demuestra el riesgo que presentan los recursos de alojamiento compartidos en la nube y el otro pone de manifiesto un enfoque ágil del malware personalizado que se reutiliza en la actividad de BlackMatter y BlackCat. 

El primer caso se refiere a un ataque contra un proveedor vulnerable de ERP (planificación de recursos empresariales) en Oriente Medio que albergaba varias webs. Los atacantes entregaron simultáneamente dos ejecutables diferentes en el mismo servidor físico, dirigidos a dos organizaciones diferentes alojadas virtualmente en él. A pesar de que la banda confundió al servidor infectado con dos sistemas físicos diferentes, los atacantes dejaron rastros que fueron importantes para determinar el estilo de operación de BlackCat. Los investigadores de Kaspersky determinaron que los ciberdelincuentes explotan el riesgo de los activos compartidos en los recursos de la nube. Además, en este caso, el grupo también entregó un archivo Mimikatz por tandas junto con ejecutables y utilidades de recuperación de contraseñas de red Nirsoft. Un incidente similar tuvo lugar en 2019, cuando REvil, predecesor de la actividad de BlackMatter, pareció penetrar en un servicio en la nube que da soporte a un gran número de centros dentales de Estados Unidos. Es muy probable que BlackCat también haya adoptado algunas de estas antiguas tácticas.

El segundo caso afecta a una empresa de petróleo, gas, minería y construcción de América del Sur y revela la conexión entre la actividad del ransomware BlackCat y BlackMatter. El grupo detrás de este ataque de ransomware (que parece ser diferente al del anterior caso), no solo trató de entregar el ransomware BlackCat en la red objetivo, sino que también precedió su entrega del ransomware a través de la instalación de una utilidad de exfiltración personalizada modificada, llamada «Fendr» por los expertos. También conocida como ExMatter, se había utilizado anteriormente de forma exclusiva por parte de BlackMatter.

‘Después de que los grupos REvil y BlackMatter abandonaran sus operaciones, era cuestión de tiempo que otro grupo de ransomware ocupara su lugar. Los conocimientos sobre el desarrollo de malware, la escritura desde cero en un lenguaje de programación poco habitual y la experiencia en el mantenimiento de infraestructura están convirtiendo al grupo BlackCat en uno de los principales actores del panorama ransomware. Al analizar estos incidentes, hemos puesto en relieve las principales características, herramientas y técnicas utilizadas por BlackCat al penetrar en las redes de sus víctimas. Estos conocimientos nos ayudan a mantener a nuestros usuarios seguros y protegidos de todas las amenazas, tanto conocidas como desconocidas. Instamos a la comunidad de ciberseguridad a unir fuerzas y trabajar juntos contra los nuevos grupos cibercriminales por un futuro más seguro’, señala Dmitry Galov, investigador de seguridad del Equipo de Investigación y Análisis Global de Kaspersky.

Deja un comentario

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Ir arriba