Investigadores han detectado una reciente variante del ransomware BlackCat que incorpora capacidades para agilizar el desplazamiento lateral y la ejecución remota de código en sistemas comprometidos.
Esta nueva versión del ransomware incluye herramientas como Impacket y la herramienta de hackeo Remcom. Es relevante señalar que una versión previa de este ransomware ya había sido reportada a inicios de 2023.
Hace apenas unos meses, en febrero de 2023, los investigadores de IBM Security X-Force descubrieron una versión previa de BlackCat llamada Sphynx. Esta versión previa destacó por sus mejoras en velocidad de cifrado y sigilo, demostrando los esfuerzos constantes de los ciberdelincuentes por perfeccionar el secuestro de datos. BlackCat, claramente, va más allá del simple ransomware; opera como un conjunto orquestado de herramientas diseñado para explorar todos los recursos y servicios en el entorno de la víctima.
Sus actividades se remontan a noviembre de 2021, y a lo largo del tiempo se han caracterizado por una evolución constante y la incorporación de nuevas funcionalidades para destacarse de otros grupos que se dedican a estos ataques. Recientemente, han presentado una API de filtración de datos que amplía la exposición de sus ataques. Esta API puede integrarse con Python y se actualiza cada milisegundo, proporcionando información detallada y diversa sobre sus nuevas víctimas.
Impacket consiste en un conjunto de herramientas de código abierto desarrolladas en Python que tienen la función de establecer interacciones con sistemas y protocolos de red. Si bien se originó como una herramienta para comprender y auditar protocolos de red, su utilidad se ha extendido a contextos legítimos e investigaciones de seguridad.
Dentro de Impacket se encuentran diversos módulos que permiten tanto la manipulación como el análisis de variados protocolos. Estos módulos pueden ser empleados tanto con fines de seguridad como para actividades maliciosas.
RemCom es una herramienta que posibilita la ejecución de comandos a distancias en sistemas comprometidos. Concebida como una opción de código abierto en paralelo a PsExec, se emplea para administrar sistemas a distancia en redes. No obstante, como sucede con otras herramientas legítimas, RemCom puede ser mal usada por agentes de amenaza para agilizar ataques cibernéticos.
A continuación, se presentan algunos de los Indicadores de Compromiso asociados a esta versión de BlackCat:
Tipo | Indicador |
Hash |
|
URL |
|
Dominio |
|
En la actualidad, el ransomware representa una amenaza latente que compromete la operación de organizaciones de todas las escalas. A pesar de los esfuerzos preventivos, los ataques eluden las barreras de defensa, generando pérdidas duraderas tanto en términos de infraestructura como de información vital. Tales incidentes repercuten directamente en la continuidad operativa de las entidades involucradas.
Es fundamental encontrar un equilibrio adecuado para prevenir ataques cibernéticos como este. En Widefense acompañamos a nuestros clientes a abordar este desafío con un enfoque integral de ciberdefensa.
Además, considerando que el 95% de los problemas de ciberseguridad tienen su origen en errores por falta de conocimiento, el principal método de prevención es lograr que los colaboradores comprendan los riesgos y sean conscientes de su rol en la seguridad a través de programas online de concientización y capacitación que los lleve a operar bajo una conducta que aporte a la ciberdefensa.
Adicionalmente, las empresas pueden frenar los ataques de fraude a su marca a través de la protección de la huella digital de todo lo que podría afectarles más allá del perímetro interno a través de la visibilidad, protección y prevención de ataques dirigidos, suplantación de identidad, marca o colaboradores, así como brindar información en tiempo real de filtración de datos.
Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a ataques:
https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1690/
https://thehackernews.com/2023/08/new-blackcat-ransomware-variant-adopts.html