Alerta: Se detecta presencia del ransomware BlackCat en México
La unidad de investigación de SILIKN ha lanzado una alerta debido a la aparición del grupo de ransomware BlackCat en el país. De acuerdo con análisis efectuados, en febrero y marzo de 2022, se ha encontrado este tipo de malware en 12 empresas del sector industrial y manufacturero de Guanajuato, Ciudad de México, Chihuahua, Nuevo León, Jalisco y Estado de México.
Black Cat
BlackCat, también conocido como ALPHV, marca un nuevo tipo de riesgo en el sentido de que este grupo cibercriminal se construye a partir de afiliados de otras operaciones de ransomware como servicio (RaaS).
El grupo de ransomware BlackCat, que opera bajo un modelo de ransomware como servicio (RaaS), surgió en noviembre de 2021 y desde entonces se ha dirigido a organizaciones en todo el mundo.
Organizaciones
La unidad de investigación de SILIKN coincide con analistas del sector en que hay vínculos entre BlackCat y las operaciones de ransomware de los grupos cibercriminales BlackMatter y DarkSide.
ExMatter
En sus recientes ataques, BlackCat ha desplegado una herramienta de exfiltración de datos identificada como ExMatter.
ExMatter ha sido descrita por analistas como una herramienta de exfiltración de datos personalizada que permitió a los operadores de BlackMatter robar fácilmente datos valiosos de sistemas comprometidos.
Como recordaremos, BlackMatter fue la nueva marca con la que se autonombró el grupo criminal DarkSide, que atacó el oleoducto Colonial Pipeline, el 6 de Mayo y que paralizó el suministro de combustible de la Costa Este de Estados Unidos. Hoy en día, presuntamente, BlackMatter y DarkSide han dejado de operar.
Ataques
Con respecto a ExMatter, esta herramienta, que anteriormente solo se veía en los ataques de BlackMatter, está diseñada para recopilar tipos de archivos específicos y cargarlos en los servidores de los ciberdelincuentes antes de que se implemente el ransomware de cifrado de archivos. Los datos robados suelen ser usados para presionar el pago de la víctima.
Pagos
Como todas las operaciones de ransomware-as-a-service (RaaS), los operadores de BlackCat reclutan afiliados para realizar violaciones corporativas y cifrar dispositivos. A cambio, los afiliados obtendrán una participación variable en los ingresos según el tamaño del pago de un rescate.
Por ejemplo, por pagos de rescate de hasta $1.5 millones, el afiliado gana 80%, 85% por hasta $3 millones y 90% de pagos superiores a $3 millones de dólares.
BlackCat se utilizó en enero de 2022 contra dos compañías petroleras internacionales con sede en Alemania, Oiltanking y Mabanaft. El ataque tuvo poco impacto en los clientes finales, pero sirve para recordar a la comunidad de ciberseguridad el potencial de los cibercriminales para dirigir ataques contra la infraestructura crítica a nivel mundial.
Ahora, con los enfrentamientos en la región de Ucrania, existe una mayor expectativa de futuras campañas de cibercriminales contra el sector industrial de los países occidentales.
Las campañas podrían tomar la forma de ataques de ransomware o ataques de limpieza de datos, ya que estos han tenido mucho éxito en los últimos años, especialmente cuando se combinan con ataques a la cadena de suministro.
Latam
Una de las víctimas más recientes en América Latina es Transportadora de Gas del Sur (TGS), una compañía argentina que se dedica al transporte, procesamiento y almacenamiento de gas natural, y a la producción y comercialización de líquidos provenientes del mismo.
Por otro lado, actúa en el sector de las telecomunicaciones a través de su filial Telcosur.
Cabe señalar que la habilidad en el desarrollo de malware, el uso de lenguajes de programación inusuales (como Rust), así como la capacidad de mantener una infraestructura organizacional con enfoque cibercriminal están convirtiendo al grupo BlackCat en un jugador importante en el sector del ransomware y, además, el hecho de que esta pandilla esté interesada en el sector industrial es algo esperado, por lo que la unidad de investigación de SILIKN estará emitiendo alertas continuamente con la finalidad de advertir a empresas y gobiernos los peligros de este ransomware.
Algunas recomendaciones prioritarias de seguridad, son:
- Realice respaldos regularmente y guárdelos de forma segura.
- Mantenga el software actualizado y parche inmediatamente vulnerabilidades altas y críticas.
- Implemente un programa de concientización en ciberseguridad.
- Mantenga un monitoreo continuo de ciberamenazas y detección de vectores de acceso.
- Segmente la red e implemente autenticación de factores múltiples para todos los accesos remotos y servicios críticos.
- Mantenga un plan de recuperación ante desastres actualizado y probado.
- Implemente un servicio de ciberinteligencia y pentesting continuo.
FUENTE:
