La Oficina Federal de Investigaciones (FBI) de EE. UU. está haciendo sonar la alarma sobre el ransomware como servicio (RaaS) BlackCat, que dijo que victimizó al menos a 60 entidades en todo el mundo entre marzo de 2022 y su aparición en noviembre pasado.
También llamado ALPHV y Noberus , el ransomware se destaca por ser el primer malware escrito en el lenguaje de programación Rust que se sabe que es seguro para la memoria y ofrece un rendimiento mejorado.
“Muchos de los desarrolladores y lavadores de dinero de BlackCat/ALPHV están vinculados a DarkSide / BlackMatter , lo que indica que tienen amplias redes y experiencia con operaciones de ransomware”, dijo el FBI en un aviso publicado la semana pasada.
La divulgación se produce semanas después de que los informes gemelos de Cisco Talos y Kasperksy descubrieran vínculos entre las familias de ransomware BlackCat y BlackMatter, incluido el uso de una versión modificada de una herramienta de exfiltración de datos denominada Fendr que anteriormente solo se había observado en la actividad relacionada con BlackMatter.
«Además de las ventajas de desarrollo que ofrece Rust, los atacantes también aprovechan un índice de detección más bajo de las herramientas de análisis estático, que generalmente no se adaptan a todos los lenguajes de programación», señaló AT&T Alien Labs a principios de este año.
Al igual que otros grupos de RaaS, el modus operandi de BlackCat implica el robo de datos de la víctima antes de la ejecución del ransomware, y el malware a menudo aprovecha las credenciales de usuario comprometidas para obtener acceso inicial al sistema de destino.
En un incidente de ransomware BlackCat analizado por Vedere Labs de Forescout, se penetró un firewall SonicWall expuesto a Internet para obtener acceso inicial a la red, antes de trasladarse y cifrar una granja virtual VMware ESXi. Se dice que la implementación del ransomware tuvo lugar el 17 de marzo de 2022.
La agencia de aplicación de la ley, además de recomendar a las víctimas que informen de inmediato los incidentes de ransomware, también dijo que no fomenta el pago de rescates ya que no hay garantía de que esto permita la recuperación de archivos cifrados. Pero reconoció que las víctimas pueden verse obligadas a prestar atención a tales demandas para proteger a los accionistas, empleados y clientes.
Como recomendaciones, el FBI insta a las organizaciones a revisar los controladores de dominio, los servidores, las estaciones de trabajo y los directorios activos en busca de cuentas de usuario nuevas o no reconocidas, realizar copias de seguridad fuera de línea, implementar la segmentación de la red, aplicar actualizaciones de software y proteger las cuentas con autenticación multifactor.
