En una alerta TLP:WHITEFLASH publicada en coordinación con CISA, el FBI dice que el ransomware BlackCat violó más de 60 redes de organizaciones en todo el mundo entre noviembre de 2021 y marzo de 2022.

 

< Síguenos en Linkedin y disfruta de nuestros contenidos corporativos de ciberseguridad >

 

El documento es parte de una serie de informes que se enfocan en indicadores de compromiso (IOC) y tácticas, técnicas y procedimientos (TTP) vinculados a cepas de ransomware identificadas por el FBI durante investigaciones previas.

 

BlackCat, también conocido como ALPHV, es un grupo de ciberdelincuencia que ejecuta una operación de Ransomware-as-a-Service (RaaS). La campaña maliciosa comprometió al menos a 60 entidades en todo el mundo y “es el primer grupo de ransomware en hacerlo con éxito utilizando RUST, considerado un lenguaje de programación más seguro que ofrece un rendimiento mejorado y un procesamiento simultáneo confiable”, según la alerta FLASH del FBI.

 

El ransomware usa credenciales previamente comprometidas para violar la máquina de destino. Una vez que obtiene acceso, BlackCat configura objetos de política de grupo (GPO) maliciosos a través del Programador de tareas de Windows para implementar ransomware.

 

Inicialmente, el malware explota una combinación de secuencias de comandos de PowerShell y Cobalt Strike para desactivar las funciones de seguridad en la red comprometida. Durante el ataque, BlackCat/ALPHV también aprovecha las herramientas administrativas internas y de Windows de Microsoft Sys, roba los datos de las víctimas y propaga el ransomware a hosts adicionales mediante la explotación de las secuencias de comandos de Windows.

 

El FBI insta a las víctimas a cooperar con las autoridades y les aconseja no pagar el rescate. También alientan a las víctimas a compartir cualquier información que pueda ayudarlos a atrapar a los perpetradores, incluidos los registros de IP, las identificaciones y direcciones de transacciones de Bitcoin o Monero, el archivo de descifrado, cualquier comunicación con los actores de la amenaza o una "muestra benigna de un archivo encriptado".

 

< Síguenos en Linkedin y disfruta de nuestros contenidos corporativos de ciberseguridad >

 

El FBI también incluyó una lista de medidas de mitigación recomendadas para ayudar a los administradores de red a mantenerse alejados de los ataques de ransomware BlackCat, como:

 

Implementación de la segmentación de la red

Copia de seguridad de los datos con regularidad

Realización de copias de seguridad en frío (fuera de línea, o al menos no en la ubicación donde residen los datos originales)

Comprobación periódica del Programador de tareas de Windows en busca de tareas programadas no reconocidas

Revisión de registros de antivirus

Mantener el software antivirus y antimalware actualizado en todos los hosts

Uso de la autenticación multifactor (MFA)

Priorización de actualizaciones y parches del sistema

Deshabilitar puertos de acceso remoto no utilizados y monitorear registros de acceso remoto

 

Fuente: Bitdefender Central