Durante la última semana de julio de 2022, se observó una fuerte actividad de amenazas relacionadas a operaciones de ransomware, destacando por sobre todo, la evolución de capacidades que algunos grupos de actores maliciosos experimentaron para lograr alcanzar sus objetivos.
De acuerdo con lo anterior, algunos acontecimientos clave de este proceso han sido:
Operación de BlackCat ransomware en el mundo
Fuente: Trellix
De esta forma, destacada participación ha tenido el grupo BlackCat / ALPHV, el que en su constante búsqueda de mejora, ha evolucionado adaptándose a las “necesidades” del negocio de extorsión, sumando cada vez más víctimas a su lista y aumentando su peligrosidad con el paso de los días.
BlackCat / ALPHV
Los creadores del ransomware BlackCat ofrecen sus servicios bajo la estrategia ransomware como servicio (RaaS por sus siglas en inglés).
En otras palabras, brindan a otros atacantes acceso a su infraestructura y código malicioso y, a cambio, obtienen una parte del rescate. Además, probablemente los miembros de este grupo también sean responsables de las negociaciones con las víctimas. Por lo tanto, lo único que tendría que hacer su “franquiciado” por sí mismo es acceder al entorno corporativo. Este principio de “tenemos todo bajo control” es la razón por la que BlackCat ha ganado impulso tan rápidamente: su malware ya se usa para atacar a empresas de todo el mundo.
Consola de operación para MS Windows de BlackCat
Fuente: El Hacker.net
El arsenal de BlackCat consta de varios elementos. El primero es el cifrador del mismo nombre que está escrito en lenguaje Rust, gracias al cual los atacantes lograron crear una herramienta multiplataforma con versiones del malware que funcionan tanto en entornos Windows como Linux.
En segundo lugar, está la utilidad Fendr, que se utiliza para extraer datos de la infraestructura infectada. El uso de esta herramienta sugiere que BlackCat pueda ser simplemente un cambio de imagen de BlackMatter: el único grupo conocido que usaba esta herramienta, también conocido como ExMatter.
BlackCat también utiliza la herramienta PsExec para el movimiento lateral en la red de la víctima; Mimikatz, el conocido software de los ciberdelincuentes, y el software Nirsoft para extraer contraseñas de red.
Ataque a Creos Luxembourg
El día 30 de julio, el grupo se atribuyó la responsabilidad de un ataque contra Creos Luxembourg SA., un operador de red de gas natural y electricidad en el país centroeuropeo, indicando que el incidente se habría concretado el fin de semana anterior, entre el 22 y el 23 de julio.
Si bien el ciberataque provocó que los portales de clientes de Encevo y Creos no estuvieran disponibles, no hubo interrupción en los servicios prestados.
Publicación de víctima en portal del grupo de ransomware BalckCat
El 28 de julio, la empresa publicó una actualización sobre el ciberataque, y los resultados iniciales de su investigación indicaban que los intrusos de la red habían extraído "una cierta cantidad de datos" de los sistemas a los que accedieron.
En ese momento, Encevo no estaba en condiciones de estimar el alcance del impacto y pidió amablemente a los clientes que tuvieran paciencia hasta que concluyeran las investigaciones, momento en el que todos recibirían un aviso personalizado.
Dado que no se han publicado más actualizaciones en el portal de medios de Encevo, es probable que este procedimiento aún esté en curso. Encevo dice que cuando haya más información disponible, se publicará en una página web dedicada al ciberataque .
Nota de rescate publicada por BlackCat
Por ahora, se recomienda a todos los clientes que restablezcan las credenciales de su cuenta en línea, que usaron para interactuar con los servicios de Encevo y Creos. Además, si esas contraseñas son las mismas en otros sitios, los clientes también deben cambiar sus contraseñas en esos sitios.
BlackCat y su relación con otras operaciones contra plantas de energía
El grupo de ransomware ALPHV/BlackCat agregó Creos a su sitio de extorsión el sábado pasado y amenazó con publicar 180 000 archivos robados con un tamaño total de 150 GB, incluidos contratos, acuerdos, pasaportes, facturas y correos electrónicos.
Si bien BlackCat continúa innovando en la extorsión de datos, parece que nunca aprenden de sus errores y continúan apuntando a empresas de alto perfil que probablemente los colocarán en la mira de las agencias internacionales de aplicación de la ley.
Se cree que BlackCat es una operación de cambio de marca DarkSide, que se cerró bajo la presión de las fuerzas del orden después de su ataque de ransomware muy publicitado en Colonial Pipeline.
Después de cerrar DarkSide, cambiaron su nombre a BlackMatter para evadir a la policía, pero la presión continuó y el grupo cerró nuevamente.
Desde noviembre de 2021, cuando los actores de amenazas se relanzaron como BlackCat/ALPHV, tienden a evitar los grandes objetivos estadounidenses y apuntan a entidades europeas, como los estados austriacos, las cadenas de moda italianas y un proveedor de servicios aeroportuarios suizo.
Sin embargo, continúan atacando infraestructura crítica, como la empresa alemana de suministro de petróleo Oiltanking en febrero y ahora Creos Luxemburgo.
Nueva modalidad de extorsión.
Ahora, ALPHV/BlackCat ha comenzado a publicar sitios web de víctimas individuales en internet abierto y al público, con los datos filtrados disponibles de forma que sean fáciles de buscar por los propios empleados y víctimas (por ejemplo, huéspedes de un hotel).
El sitio de ALPHV afirma preocuparse por la privacidad de las personas, pero permiten que cualquiera vea los datos confidenciales robados.
ALPHV anunció recientemente en su sitio web de "extorsión y vergüenza" de víctimas que había hackeado un spa y resort de lujo en el oeste de los Estados Unidos. En algún momento de las últimas 24 horas, ALPHV publicó un sitio web con el nombre de la misma víctima en el dominio y su logotipo en la página de inicio.
Los recientes ataques de ransomware realizados contra proveedores de energía en Europa tuvieron éxito, pero no tuvieron un impacto significativo en la infraestructura del país. Sin embargo, considerando los eventos geopolíticos en Europa del Este, estos ataques deberían servir como un fuerte recordatorio de que las organizaciones deben permanecer en alerta máxima contra los ataques cibernéticos.
Deben examinar campañas recientes, como las que se ejecutan con el ransomware BlackCat, para educar a los equipos y mantener detecciones actualizadas para las últimas tácticas, técnicas y procedimientos (TTP) de los actores de amenazas. Como la mayoría de los ataques y las campañas de los actores de amenazas, el ransomware BlackCat puede lograr el acceso inicial utilizando muchas variaciones diferentes que dependen del afiliado que opera el ataque, sin embargo, la carga útil será muy similar para las infecciones.
El ransomware es una amenaza que no requiere una amplia introducción, ya que se ha mantenido en constante evolución y adaptándose a los nuevos entornos de trabajo, adicionando capacidades y ampliando sus alcances.
Si bien ha existido una leve baja en el volumen de actividades en el teatro de operaciones LATAM, sigue al alza en cuanto a cooperación con otros actores de amenaza y el estrecho vínculo con algunos portales del mercado negro, considerando la gran cantidad de afiliados que los programas de “recompensas” atraen a sus equipos. Sin embargo, durante este trimestre el ransomware continúa siendo una de las principales amenazas a nivel nacional y global.
Volumen de ataques por grupo de ransomware Q2 2022
Algo que ha marcado este trimestre, ha sido en gran medida la aparición de nuevos afiliados y variantes mejoradas, la implementación de “brazos” de operación de conocidos actores maliciosos y la orquestación de ataques por medio de ransomware llevada a cabo por APT.
Apreciación
Considerando las operaciones que ha tenido el ransomware a lo largo de su exposición en el mundo, se contempla su tendencia al alza, orientando sus operaciones a empresas u organizaciones de gran presencia en los países que han sido afectados, asociados en mayor medida a infraestructura crítica.
Por lo tanto, se puede deducir que la probabilidad de que estos actores sigan operando, bajo la modalidad de “desfragmentación” de sus grandes grupos cuando se ven descubiertos, migrando a unidades más reducidas, aprovechando incluso la colaboración con otros grupos que buscan el mismo objetivo, como fue el caso de Conti, quien finalmente derivó en afiliados a las operaciones de "Karakurt y BlackBasta", que en conjunto con Quantum, realizaron operaciones en contra de Costa Rica.
En este sentido, la recomendación siempre será estar atentos a las nuevas técnicas que seguirán desarrollando, valiéndose del abuso de proveedores de grandes empresas, cadenas de suministros, etc., para ganar y asegurar el acceso inicial, lo que se traduce en el desarrollo de nuevas estrategias de defensa para reforzar las correspondientes medidas de protección ya existentes.
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente: