Blog

El FBI lanza una advertencia con respecto a BlackCat Ransomware

Resumen ejecutivo

La Oficina Federal de Investigación (FBI) de los Estados Unidos ha lanzado un comunicado de alerta con respecto al grupo de Ransomware, BlackCat, que, según ha dicho, ha logrado comprometer, al menos a 60 entidades de todo el mundo hasta marzo de 2022, desde su aparición en el mes de noviembre de 2021.

BlackCat, también llamado ALPHV y Noberus, el ransomware se ha destacado por ser el primer malware escrito en el lenguaje de programación Rust, muy conocido por diferentes desarrolladores de software por ser seguro en memoria y ofrecer un mejor rendimiento. Aparte de las ventajas de desarrollo que ofrece Rust, los atacantes también se aprovechan de un menor ratio de detección en las herramientas de análisis estático, que no suelen estar adaptadas a todos los lenguajes de programación.

La revelación se produce semanas después de que las empresas Cisco Talos y Kasperksy descubrieran vínculos entre las familias de ransomware BlackCat y BlackMatter, incluido el uso de una versión modificada de una herramienta de exfiltración de datos apodada «Fendr», que anteriormente sólo se había observado en actividades relacionadas con BlackMatter.

Al igual que otros grupos de Ransomware, el modus operandi de BlackCat implica el robo de los datos de la víctima antes de la ejecución del ransomware, y el malware suele aprovechar las credenciales de usuario comprometidas para obtener el acceso inicial al sistema.

En un incidente de ransomware BlackCat analizado por Vedere Labs de Forescout, se ha llegado a reconocer que logró penetrar un firewall de SonicWall expuesto a Internet para obtener el acceso inicial a la red, antes de pasar a comprometer una granja virtual VMware ESXi. El despliegue del ransomware habría tenido lugar el 17 de marzo de 2022.

La agencia policial, además de recomendar a las víctimas que informen rápidamente de los incidentes de ransomware, también dijo que no anima a pagar rescates, ya que no hay garantía de que esto permita la recuperación de los archivos cifrados. Sin embargo, reconoce que las víctimas pueden verse obligadas a atender tales demandas para proteger a sus accionistas, empleados y clientes.

Al momento de realizar esta publicación, se tiene registros de que dos empresas nacionales han sido comprometidas por la banda BlackCat Ransomware en lo que llevamos de año.

Recomendaciones

Como recomendaciones, el FBI insta a las organizaciones a revisar los controladores de dominio, los servidores, las estaciones de trabajo y los directorios activos en busca de cuentas de usuario nuevas o no reconocidas, a realizar copias de seguridad fuera de línea, a implementar la segmentación de la red, a aplicar actualizaciones de software y a asegurar las cuentas con un segundo factor de autentificación.

Indicadores de Compromiso – IOC

Direcciones IP C2:

  • 89.44.9.243
  • 142.234.157.246
  • 45.134.20.66
  • 185.220.102.253
  • 37.120.238.58
  • 152.89.247.207
  • 198.144.121.93
  • 89.163.252.230
  • 45.153.160.140
  • 23.106.223.97
  • 139.60.161.161
  • 146.0.77.15
  • 94.232.41.155

BlackCat Ransomware SHA256:

  • 731adcf2d7fb61a8335e23dbee2436249e5d5753977ec465754c6b699e9bf161
  • f837f1cd60e9941aa60f7be50a8f2aaaac380f560db8ee001408f35c1b7a97cb
  • 731adcf2d7fb61a8335e23dbee2436249e5d5753977ec465754c6b699e9bf161
  • 80dd44226f60ba5403745ba9d18490eb8ca12dbc9be0a317dd2b692ec041da28

Más Información

https://www.ic3.gov/Media/News/2022/220420.pdf

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alerta Temprana de Riesgos Cibernéticos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

No dejes tu seguridad para después.

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required