El BlackCat ransomware aparece de la mano del grupo ALPHV quienes pusieron sus servicios a la orden en foros para ciberdelincuentes. Desde que los grupos BlackMatter y REvil ya no ofrecen servicios, se ha dejado un espacio libre para la llegada de nuevas amenazas por parte de delincuentes digitales.
Tras algunos incidentes se han dado a conocer por medio del equipo de análisis e investigación global GReAT diversas actividades del llamado grupo BlackCat. En estos informes, se ha dado a conocer que los ciberdelincuentes estudiaron y mejoraron los errores y problemas de grupos predecesores.
De esta manera, han logrado crear un nuevo malware conocido como BlackCat ransomware y del que puede tener mucha más conexión con otros grupos de delincuentes cibernéticos de lo que han querido demostrar.
BlackCat ransomware ¿quiénes son y qué herramientas usan?
Los creadores de BlackCat ransomware tienen una estrategia de servicios ransomware o RaaS por sus siglas en inglés. Con este servicio brindan a los ciberdelincuentes interesados acceso a su código malicioso y su infraestructura. De esta manera, los atacantes vinculados obtienen parte del dinero de rescate a la vez de ser responsable de algunas negociaciones con víctimas.
Este servicio se muestra como una especie de franquicia donde todos los delincuentes cibernéticos tienen acceso al entorno corporativo. Gracias a esta manera de trabajar, en donde todo se tiene controlado, BlackCat ha tomado vuelo rápidamente y su malware es usado en ataques a empresas de todo el mundo.
Modo operandi del BlackCat ransomware
Para lograr atacar de manera efectiva con su malware hacen uso de diferentes elementos, el primero de ellos es el cifrador. Esta herramienta está escrita en lenguaje Rust y con ella los atacantes crearon una herramienta multiplataforma. En ella se encuentran todas las versiones del malware que se encuentra en funcionamiento para sistemas operativos Windows y Linux.
La segunda herramienta es Fendr, esto se utiliza para extraer la información de las infraestructuras infectadas. El uso de esta herramienta podría significar que BlackCat solo cambio su nombre y podría tratarse de BlackMatter, pues eran el único grupo conocido que utilizaba esta herramienta para robar información.
Además de esto, también utilizan PsExec para el movimiento lateral en redes de la víctima y Mimikatz. Este último es un software para ciberdelincuentes, el cual utilizan junto con Nirsoft, un software para extraer contraseñas.
Víctimas de BlackCat
El BlackCat ransomware ha atacado a muchos inocentes, especialmente empresas y al menos un ataque a la industria en Sudamérica. Al mismo tiempo, se han infectado proveedores de planificación de recursos en el Oriente Medio vinculadas al gas, petróleo, construcciones y minería.
Por otra parte, los ciberdelincuentres han añadido herramientas para encontrar archivos con extensiones .rdp, .3ds, .dwt y otros, relacionados a aplicaciones de diseño industrial o herramientas de acceso remoto. Para mantenerte a salvo de estos malware lo primordial es proteger todos tus dispositivos y seguir los protocolos de ciberseguridad.
Para esto, Cynet es una de las herramientas más eficientes para encontrar y actuar de manera automática contra ciberataques. Toma precauciones y resguarda los activos de tu empresa, ya que los ataques de ransomware son cada vez más frecuentes.