Skip to content
Javiera González01-01-703 min read

MalDoc in PDF Nueva técnica de malware

Investigadores han detectado una reciente variante del ransomware BlackCat que incorpora capacidades para agilizar el desplazamiento lateral y la ejecución remota de código en sistemas comprometidos.

Esta nueva versión del ransomware incluye herramientas como Impacket y la herramienta de hackeo Remcom. Es relevante señalar que una versión previa de este ransomware ya había sido reportada a inicios de 2023.

La evolución de BlackCat

Hace apenas unos meses, en febrero de 2023, los investigadores de IBM Security X-Force descubrieron una versión previa de BlackCat llamada Sphynx. Esta versión previa destacó por sus mejoras en velocidad de cifrado y sigilo, demostrando los esfuerzos constantes de los ciberdelincuentes por perfeccionar el secuestro de datos. BlackCat, claramente, va más allá del simple ransomware; opera como un conjunto orquestado de herramientas diseñado para explorar todos los recursos y servicios en el entorno de la víctima.

Sus actividades se remontan a noviembre de 2021, y a lo largo del tiempo se han caracterizado por una evolución constante y la incorporación de nuevas funcionalidades para destacarse de otros grupos que se dedican a estos ataques. Recientemente, han presentado una API de filtración de datos que amplía la exposición de sus ataques. Esta API puede integrarse con Python y se actualiza cada milisegundo, proporcionando información detallada y diversa sobre sus nuevas víctimas.

Herramienta Impacket

Impacket consiste en un conjunto de herramientas de código abierto desarrolladas en Python que tienen la función de establecer interacciones con sistemas y protocolos de red. Si bien se originó como una herramienta para comprender y auditar protocolos de red, su utilidad se ha extendido a contextos legítimos e investigaciones de seguridad.

Dentro de Impacket se encuentran diversos módulos que permiten tanto la manipulación como el análisis de variados protocolos. Estos módulos pueden ser empleados tanto con fines de seguridad como para actividades maliciosas.

Herramienta RemCom

RemCom es una herramienta que posibilita la ejecución de comandos a distancias en sistemas comprometidos. Concebida como una opción de código abierto en paralelo a PsExec, se emplea para administrar sistemas a distancia en redes. No obstante, como sucede con otras herramientas legítimas, RemCom puede ser mal usada por agentes de amenaza para agilizar ataques cibernéticos.

IoC asociados a este ataque

A continuación, se presentan algunos de los Indicadores de Compromiso asociados a esta versión de BlackCat:

Tipo Indicador

Hash
  • f51166cf076d96c47b5c2ba22e65903b21e4d6735e585e1c51f796108a0a54f9
  • e7e8a15588225ae93f2ebc91769352de0d48bfdcfcb93718e66119eb23dee976
  • e616846973de11765207dddbdf7712a74b2d804a08b65badb47f9ef09a640d4f
  • df1f54952d918b1ddabf543ac50c2dafbca7aad2e5681824c0d1a44416da9c1d
  • da8c1976b9756cfb9afdcb4eaca193f411f96cee65835a87b3efb3423b33810b
  • c97641412ba384933dae4d4de377bc57bd0c9cd6d17b52a9a38c7c9a6eadd64c
URL
  • hxxp://temp[.]sh
Dominio
  • gofile[.]io
  • storjshare[.]io
  • privacy[.]sexy
  •  level[.]io
  • fleetdeck[.]io

Prevención y mitigación

En la actualidad, el ransomware representa una amenaza latente que compromete la operación de organizaciones de todas las escalas. A pesar de los esfuerzos preventivos, los ataques eluden las barreras de defensa, generando pérdidas duraderas tanto en términos de infraestructura como de información vital. Tales incidentes repercuten directamente en la continuidad operativa de las entidades involucradas.

Es fundamental encontrar un equilibrio adecuado para prevenir ataques cibernéticos como este. En Widefense acompañamos a nuestros clientes a abordar este desafío con un enfoque integral de ciberdefensa. 

Además, considerando que el 95% de los problemas de ciberseguridad tienen su origen en errores por falta de conocimiento, el principal método de prevención es lograr que los colaboradores comprendan los riesgos y sean conscientes de su rol en la seguridad a través de programas online de concientización y capacitación que los lleve a operar bajo una conducta que aporte a la ciberdefensa.

Adicionalmente, las empresas pueden frenar los ataques de fraude a su marca a través de la protección de la huella digital de todo lo que podría afectarles más allá del perímetro interno a través de la visibilidad, protección y prevención de ataques dirigidos, suplantación de identidad, marca o colaboradores, así como brindar información en tiempo real de filtración de datos.

¿Qué pueden hacer nuestros Servicios Administrados por tu empresa?

Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a ataques:

    • Protección proactiva: Nuestro equipo de Detección y Respuesta identifica y bloquea cualquier actividad maliciosa antes de que pueda causar daños.
    • Respuesta rápida: Servicios Administrados genera una respuesta rápida y efectiva frente a ataques. Nuestros procesos de respuesta funcionan de forma inmediata para identificar y minimizar el impacto de la amenaza.
    • Actualizaciones de seguridad: La gestión regular de actualizaciones hace frente a las amenazas emergentes. Estas actualizaciones pueden incluir parches de seguridad para sistemas operativos y aplicaciones, con el objetivo de disminuir las vulnerabilidades de los sistemas y disminuir los alcances y probabilidad de que ocurran estos ataques.

Fuentes

https://www.bleepingcomputer.com/news/microsoft/microsoft-blackcats-sphynx-ransomware-embeds-impacket-remcom/

https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1690/

https://thehackernews.com/2023/08/new-blackcat-ransomware-variant-adopts.html

https://enhacke.com/blog/la-nueva-variante-del-ransomware-blackcat-adopta-herramientas-avanzadas-de-impacket-y-remcom

 

 

Javiera González

ARTÍCULOS RELACIONADOS