BlackCat, la última amenaza de ransomware promocionada en foros clandestinos, ha incursionado rápidamente en el mercado de ciberdelincuentes de ransomware como servicio al ofrecer entre el 80 % y el 90 % de los rescates a "afiliados" y denunciar agresivamente a las víctimas en nombre y vergüenza. Blog.
En menos de un mes, el grupo BlackCat supuestamente comprometió a más de una docena de víctimas, nombró a esas víctimas en su blog y se clasificó entre las 10 principales amenazas según el recuento de víctimas, según un análisis reciente del malware realizado por investigadores de Palo Alto. Redes. El programa ransomware parece estar bien diseñado y está escrito en Rust, un lenguaje de programación eficiente que ganó popularidad durante la última década.
Actualmente, cinco víctimas se encuentran en los Estados Unidos, dos en Alemania y una en Francia, Holanda, Filipinas y España, y se desconoce la ubicación final de la víctima.
La plataforma de ransomware hace un uso extensivo de los archivos de configuración para permitir que el operador personalice el ataque para ciertas víctimas, determine qué procesos cerrar e incluso use una lista personalizada de credenciales para moverse lateralmente dentro de una empresa, dice Doel Santos, una inteligencia de amenazas. analista del equipo Unit 42 de Palo Alto Networks.
“El ransomware BlackCat incluye numerosas características que el operador podría aprovechar al ejecutar el ransomware”, dice. “Todas estas configuraciones pueden ser personalizadas por el actor de amenazas a su gusto, haciéndolas altamente personalizables”.
Este es el último ejemplo de cómo los grupos de ransomware se están adaptando a mejores defensas de las empresas y los esfuerzos de colaboración de los organismos encargados de hacer cumplir la ley para investigar y enjuiciar a las bandas de ransomware. En septiembre de 2021, los investigadores de Trend Micro notaron que los grupos de ransomware se habían mudado de la llamada “doble extorsión” a adoptar múltiples métodos de extorsión, incluido el cifrado de datos, el robo de datos, el uso de ataques distribuidos de denegación de servicio (DDoS) y las víctimas de nombrar y avergonzar.
BlackCat, también conocido como ALPHV, adopta todas estas técnicas, dijeron investigadores de Palo Alto Networks en su análisis.
"En algunos casos, los operadores de BlackCat usan el chat para amenazar a la víctima, alegando que realizarán un ataque DDoS en la infraestructura de la víctima si no se paga el rescate". el análisis indicó. “Cuando aparece además del uso de un sitio de fuga, esta práctica se conoce como triple extorsión, una táctica que se observó que utilizan grupos como Avaddon y Suncrypt en el pasado”.
Codificado en óxido
El software está escrito por uno o más desarrolladores rusos que utilizan el lenguaje de programación Rust, probablemente la primera vez que un grupo de ransomware adopta el lenguaje de codificación emergente. los eficiencia del código compilado de Rust permite que el malware use ampliamente el cifrado y codifique una gran cantidad de características mientras requiere poca sobrecarga, indicó el análisis.
Si bien BlackCat es el primer ransomware encontrado por Palo Alto Networks que usa Rust, otros malware, como el descargador de primera etapa, oxidadobuer – también se desarrolló el año pasado usando el lenguaje de programación, dijo la compañía.
“Rust ha existido por algún tiempo, [y] no es tan popular como otros lenguajes de programación, pero está ganando notoriedad porque es rápido y eficiente en memoria, dos cosas que pueden ser de interés para los operadores de ransomware”, dice Santos.
El uso de Rust permite que el malware se ejecute en sistemas Windows y Linux y permite a los desarrolladores crear campañas individualizadas, afirmó Palo Alto Networks en su análisis.
Entre otras técnicas, BlackCat también usa un token de acceso para limitar quién puede ver la negociación en curso con la víctima. Solo los participantes con el token de acceso pueden iniciar sesión en el chat y el centro para pagar rescates, un intento de evitar la intromisión de terceros, dice Santos.
“Las muestras de ransomware tradicionales generalmente están preconfiguradas e incluyen enlaces que se filtran y permiten que entidades externas accedan a negociaciones y detalles adicionales que solo la víctima debe ver”, dice.
Descuentos por Pago Anticipado
El grupo BlackCat ha solicitado pagos de rescate de hasta 14 millones de dólares, con descuentos para las víctimas que paguen antes de la fecha límite.
Si bien BlackCat ha despegado desde noviembre, los dos grupos de ransomware más grandes, medidos por la cantidad de víctimas mensuales, siguen siendo Lockbit 2.0 y Conti.
El ransomware Conti de 2 años sigue teniendo éxito, con la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) advertencia en septiembre de un aumento en los ataques usando Conti. Investigadores de seguridad advertido en agosto que se había lanzado una versión reescrita del programa ransomware Lockbit, denominada Lockbit 2.0. El grupo Lockbit se centró en una agresiva campaña de reclutamiento para ganar afiliados para difundir su malware, una estrategia que BlackCat obviamente ha copiado. El sitio de fuga del grupo Lockbit enumeró 50 víctimas en diciembre de 2021, mientras que Conti ha comprometido a 37 víctimas, según Palo Alto Networks.
- Coinsmart. El mejor intercambio de Bitcoin y criptografía de Europa.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. ACCESO LIBRE.
- CriptoHawk. Radar de altcoins. Prueba gratis.
- Fuente: https://www.darkreading.com/threat-intelligence/aggressive-blackcat-ransomware-on-the-rise
