Resumen ejecutivo
La Oficina Federal de Investigación (FBI) de los Estados Unidos ha lanzado un comunicado de alerta con respecto al grupo de Ransomware, BlackCat, que, según ha dicho, ha logrado comprometer, al menos a 60 entidades de todo el mundo hasta marzo de 2022, desde su aparición en el mes de noviembre de 2021.
BlackCat, también llamado ALPHV y Noberus, el ransomware se ha destacado por ser el primer malware escrito en el lenguaje de programación Rust, muy conocido por diferentes desarrolladores de software por ser seguro en memoria y ofrecer un mejor rendimiento. Aparte de las ventajas de desarrollo que ofrece Rust, los atacantes también se aprovechan de un menor ratio de detección en las herramientas de análisis estático, que no suelen estar adaptadas a todos los lenguajes de programación.
La revelación se produce semanas después de que las empresas Cisco Talos y Kasperksy descubrieran vínculos entre las familias de ransomware BlackCat y BlackMatter, incluido el uso de una versión modificada de una herramienta de exfiltración de datos apodada «Fendr», que anteriormente sólo se había observado en actividades relacionadas con BlackMatter.
Al igual que otros grupos de Ransomware, el modus operandi de BlackCat implica el robo de los datos de la víctima antes de la ejecución del ransomware, y el malware suele aprovechar las credenciales de usuario comprometidas para obtener el acceso inicial al sistema.
En un incidente de ransomware BlackCat analizado por Vedere Labs de Forescout, se ha llegado a reconocer que logró penetrar un firewall de SonicWall expuesto a Internet para obtener el acceso inicial a la red, antes de pasar a comprometer una granja virtual VMware ESXi. El despliegue del ransomware habría tenido lugar el 17 de marzo de 2022.
La agencia policial, además de recomendar a las víctimas que informen rápidamente de los incidentes de ransomware, también dijo que no anima a pagar rescates, ya que no hay garantía de que esto permita la recuperación de los archivos cifrados. Sin embargo, reconoce que las víctimas pueden verse obligadas a atender tales demandas para proteger a sus accionistas, empleados y clientes.
Al momento de realizar esta publicación, se tiene registros de que dos empresas nacionales han sido comprometidas por la banda BlackCat Ransomware en lo que llevamos de año.
Recomendaciones
Como recomendaciones, el FBI insta a las organizaciones a revisar los controladores de dominio, los servidores, las estaciones de trabajo y los directorios activos en busca de cuentas de usuario nuevas o no reconocidas, a realizar copias de seguridad fuera de línea, a implementar la segmentación de la red, a aplicar actualizaciones de software y a asegurar las cuentas con un segundo factor de autentificación.
Indicadores de Compromiso – IOC
Direcciones IP C2:
- 89.44.9.243
- 142.234.157.246
- 45.134.20.66
- 185.220.102.253
- 37.120.238.58
- 152.89.247.207
- 198.144.121.93
- 89.163.252.230
- 45.153.160.140
- 23.106.223.97
- 139.60.161.161
- 146.0.77.15
- 94.232.41.155
BlackCat Ransomware SHA256:
- 731adcf2d7fb61a8335e23dbee2436249e5d5753977ec465754c6b699e9bf161
- f837f1cd60e9941aa60f7be50a8f2aaaac380f560db8ee001408f35c1b7a97cb
- 731adcf2d7fb61a8335e23dbee2436249e5d5753977ec465754c6b699e9bf161
- 80dd44226f60ba5403745ba9d18490eb8ca12dbc9be0a317dd2b692ec041da28
Más Información
https://www.ic3.gov/Media/News/2022/220420.pdf
Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.
