¿Qué es el ransomware BlackCat?

El ransomware BlackCat, también conocido como ransomware Noberus o ALPHV, es un tipo de malware creado por un grupo de ciberdelincuentes de habla rusa. Se cree que varios miembros de este grupo tienen vínculos con DarkSide y BlackMatter, dos grupos de ransomware que ahora están desaparecidos. Desde su primera aparición en 2021, BlackCat se ha convertido en una de las formas más activas de ransomware. Se cree que una nueva variante llamada "Sphynx" funciona con una velocidad y una eficacia aún mayores. BlackCat está escrito en el lenguaje de programación Rust y es más difícil de eliminar que otros tipos de amenazas de ransomware. Algunas víctimas de los ataques del ransomware BlackCat incluyen empresas de los campos de la construcción, la fabricación, la energía, la atención sanitaria, la tecnología y la venta al por menor.

Los atacantes que utilizan BlackCat acceden inicialmente a los entornos informáticos y las cuentas de usuario de diversas formas, lo que incluye protocolos de escritorio remoto, credenciales comprometidas y las vulnerabilidades de Exchange Server. Algunos utilizan anuncios de Google que promueven descargas falsas de software popular; cuando los usuarios hacen clic en un enlace, descargan malware en lugar de software legítimo. Una vez que la carga de malware ha infectado los dispositivos de una red, los ciberdelincuentes la utilizan para cifrar archivos y datos en servidores y equipos individuales, lo que impide que los usuarios accedan a ellos. Los grupos de BlackCat también pueden exfiltrar datos confidenciales antes de cifrarlos, lo que permite que los grupos amenacen con revelar los datos a menos que se pague el rescate.

La familia de ransomware BlackCat es diferente de otros tipos de ataques de ransomware por varias razones clave.

• Ransomware como servicio. BlackCat opera con un modelo de ransomware como servicio (RaaS), en el que los creadores del malware permiten que otros grupos lo utilicen, cobrando a cambio un porcentaje del rescate.
• Mayores pagos. Los hackers que hay detrás de BlackCat ofrecen un pago de entre el 80 % y el 90 % a los delincuentes afiliados que utilizan el software, más que el pago habitual del 70 %.
• Nuevo lenguaje de programación. BlackCat es la primera cepa de ransomware escrita en Rust, un lenguaje de programación rápido, estable y seguro que se puede ejecutar tanto en sistemas Windows como sistemas que no sean Windows, como Linux y máquinas virtuales en instancias de VMware. Hasta la fecha, hay pocas formas de malware dirigidas a los sistemas basados en Linux, por lo que los equipos de seguridad que gestionan entornos basados en Linux pueden estar menos preparados para responder a este devastador ciberataque. Debido a que muchas soluciones de seguridad son menos eficaces a la hora de analizar amenazas escritas en Rust y otros lenguajes de programación modernos, es más difícil que algunas herramientas de seguridad reconozcan BlackCat y mitiguen sus efectos.
• Capacidad de personalización. Los operadores de BlackCat pueden personalizar el ransomware para que funcione en diferentes sistemas operativos, lo que proporciona una gama más amplia de posibles objetivos. Los operadores pueden elegir entre diferentes algoritmos de cifrado, personalizar la nota de rescate, especificar archivos que se deben ignorar y elegir servicios y procesos específicos que se deben interrumpir.
• Amenaza triple. Los atacantes que utilizan BlackCat suelen emplear tácticas de triple extorsión, que exigen un rescate para descifrar los archivos infectados, no publicar datos robados y no lanzar un ataque de denegación de servicio (DoS) o ataque distribuido de denegación de servicio (DDoS) contra la víctima.
• Sitio público de filtración de datos. El grupo que hay detrás de BlackCat ha creado un sitio web público en Internet donde se han filtrado datos de ataques llevados a cabo con éxito. Esto aumenta la visibilidad de las operaciones de ransomware de BlackCat entre los ciberdelincuentes y hace que las víctimas se inclinen más por sucumbir a la extorsión y pagar el rescate.

Hay varias señales que pueden indicar que un ataque de ransomware está utilizando malware BlackCat. Los indicadores de compromiso (IOC) incluyen firmas hash de archivo, direcciones IP de mando y control y dominios específicos publicados por el FBI y otros análisis. Los ataques de BlackCat suelen utilizar una nota de rescate única o personalizada, que puede incluir un enlace a un sitio web único de Tor que revela pruebas de datos que se han exfiltrado y por los que se han pedido rescates anteriormente. BlackCat también añade extensiones únicas y aleatorias a los archivos cifrados en cada campaña, y crea un archivo llamado “RECOVER-<random>-NOTES.txt” en cada directorio que contiene archivos por los que se pide rescate.

Los mismos métodos y controles utilizados para prevenir otros tipos de ciberdelincuencia y ataques de ransomware pueden ser eficaces contra los ataques de BlackCat.

• La microsegmentación. Al limitar estrictamente el acceso a los activos informáticos individuales o a pequeños subconjuntos de una red, la microsegmentación definida por software puede evitar el tipo de movimiento lateral que es esencial para los ataques de ransomware.
• Formación sobre concienciación en materia de seguridad. Educar a los empleados es una parte fundamental de la prevención del ransomware. La formación en concienciación debe incluir prácticas recomendadas para la higiene de la seguridad, así como formas de reconocer los correos electrónicos de phishing y otras técnicas comunes para la distribución de ransomware.
• Cifrado. A través del cifrado, las organizaciones pueden evitar que los atacantes de ransomware roben y revelen datos confidenciales.
• Control de acceso e identidades sólido. Mediante la implementación de contraseñas seguras y técnicas como la autenticación multifactorial, las organizaciones pueden limitar enormemente quién puede ver o modificar los datos, reduciendo así el riesgo o el alcance de una infección de ransomware BlackCat.
• Copias de seguridad. Las copias de seguridad periódicas de los datos permiten que las organizaciones se recuperen rápidamente de una infección de ransomware sin tener que pagar un rescate ni perder archivos de forma permanente. Las copias de seguridad se deben almacenar en una ubicación segura que no esté conectada a los equipos ni a la red para evitar que estas ubicaciones de almacenamiento se infecten.
• Cadencia de aplicación de parches óptima. La instalación periódica de actualizaciones y parches de seguridad puede ayudar a solucionar las vulnerabilidades del hardware, las aplicaciones y las API de las que los atacantes podrían aprovecharse si esto no se hace.
• Monitorización continua. Los administradores de red deben supervisar continuamente el tráfico entrante y saliente para buscar patrones inusuales que puedan indicar un ataque de ransomware u otros tipos de ciberataques.
• Seguridad de extremos. Los servicios de seguridad de extremos proporcionan protección a nivel de dispositivo para reconocer y bloquear ataques.
• Servicios en la nube seguros. A la hora de elegir proveedores de servicios en la nube, las organizaciones deben asegurarse de que los equipos de seguridad comprendan el modelo de responsabilidad compartida de la seguridad que implica muchos servicios en la nube, y de que los proveedores cumplan con estándares reconocidos y marcos de calidad como PCI DSS o la certificación FedRAMP.
• Protección contra filtraciones de datos (DLP). Las soluciones de DLP permiten la clasificación detallada de los datos en función de la confidencialidad y pueden alertar a los equipos de seguridad en tiempo real cuando se producen posibles incidentes de ransomware o exfiltraciones de datos.