BlackCat del grupo ALPHV ha hecho sus apariciones desde diciembre del 2021 publicando anuncios de sus servicios de (RaaS.- Ransomware As a Service) en foros de ciberdelincuentes.
Este grupo aparentemente desciende de BlackMatter (se centran en una herramienta de exfiltración de datos llamada Fendr y ExMatter). Parece que el equipo de BlackCat consta de varios afiliados del grupo RaaS, incluido BlackMatter, en lugar de ser un cambio de marca de BlackMatter.
El pasado miércoles, el FBI anunció que el ransomware BlackCat ha perjudicado, al menos, a unas 60 organizaciones en todo el mundo desde marzo del 2022, por lo general usan «credenciales de usuario previamente comprometidas» para obtener acceso a las redes de las víctimas. Adicional el reporte del FBI proporciona indicadores de compromiso (IOC) asociados con los ataques.
Si bien el grupo no ha tenido el mismo volumen de víctimas que otras pandillas de ransomware, BlackCat ha sido presuntamente responsable de algunos de los ataques de ransomware más devastadores de los últimos meses.
En recientes ataques hacia empresas de petróleo, gas, minería y construcción en América del Sur, los piratas informáticos de BlackCat implementaron una versión de la herramienta Fendr. Sin embargo, en comparación con la herramienta detectada en los ataques de BlackMatter, esta tenía como objetivo algunos tipos de archivos adicionales, específicamente los que se encuentran típicamente en entornos industriales.
Esta nueva variante de ransomware que se presume proviene del grupo de BlackMatter, debido a la forma de infectar a los sistemas. BlackCat/ALPHV «es el primer grupo de ransomware en emplear de forma exitosa RUST, el cuál es un lenguaje considerado seguro y que ofrece mejoras en rendimiento, y procesamiento concurrente confiable», dijo el FBI.
El ejecutable de BlackCat es altamente customizable, e incorpora soporte para múltiples métodos de cifrado; así como, la facilidad para adaptarse a ataques de una amplia variedad de entidades.
Este Ransomware utiliza sistemáticamente un enfoque de doble extorsión y, en ocasiones, ha implementado la triple extorsión a través de la amenaza de un ataque DDoS.
Para las organizaciones se recomienda lo siguiente:
- Revise los controladores de dominio, los servidores, las estaciones de trabajo y los directorios activos en busca de cuentas de usuario nuevas o no reconocidas.
- Realice copias de seguridad periódicas de los datos, el espacio de aire y las copias de seguridad protegidas con contraseña fuera de línea.
- Asegúrese de que las copias de los datos críticos no sean accesibles para su modificación o eliminación desde el sistema donde residen los datos.
- Implemente un plan de recuperación para mantener y conservar múltiples copias de datos confidenciales o de propiedad y servidores en una ubicación segura, segmentada y separada físicamente (por ejemplo, disco duro, dispositivo de almacenamiento, la nube).
- Utilice la autenticación multifactor cuando sea posible.
Para mayor información:
- https://www.ic3.gov/Media/News/2022/220420.pdf
- https://thehackernews.com/2022/04/fbi-warns-of-blackcat-ransomware-that.html
- https://www.kaspersky.es/blog/black-cat-ransomware/27085/
- https://www.cisa.gov/uscert/ncas/current-activity/2022/04/22/fbi-releases-iocs-associated-blackcatalphv-ransomware
- https://www.securitymagazine.com/articles/97489-blackcat-alphv-ransomware-breaches-60-organizations
- https://www.techtarget.com/searchsecurity/news/252516148/BlackCat-emerges-as-one-of-the-top-ransomware-threats
- https://www.securityweek.com/blackcat-ransomware-targets-industrial-companies
- https://www.csirt-epn.edu.ec/como-tener/297-fbi-reporta-de-victimas-de-ransomware-blackcat