Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon BlackMatter y LockBit 2.0: novedades en el mundo del ransomware


BlackMatter es un nuevo grupo de ransomware. La que para muchos es una de la peores amenazas a la que se puede enfrentar una empresa sigue evolucionando con nuevos actores y la actualización de viejos conocidos. Mientras hemos visto como  la segunda ciudad más grande de Grecia, tuvo que cerrar los servicios de IT tras el ciberataque del ransomware Grief. Por su parte el ransomware más prolífico durante el mes de julio está siendo LockBit 2.0. Con una cantidad insultante de más de 40 empresas hackeadas y extorsionadas durante las últimas semanas. Mientras tanto Haron parece ser el sucesor del conocido ransowmare Avaddon, debido a todas sus similtudes.



LockBit 2.0 y el uso de las políticas de grupo en Windows

Una de las familias de ransomware como servicio más populares, observada por primera vez en septiembre de 2019, y que ha tenido cierto protagonismo afectando a sistemas de control industrial lanza ahora una nueva versión. Recordemos que la primera versión 1.0 contenía un bug con el cuál se podían descifrar los archivos, no así en la versión 2.0

Después de que las temáticas relacionadas con el ransomware fueran prohibidas en algunos de los principales foros usados por los ciberdelincuentes para evitar atraer la atención de las autoridades, algunos grupos como LockBit empezaron a promocionar su servicio en busca de afiliados en las webs que tienen preparadas para filtrar los datos que roban de las empresas a las que atacan.



LockBit 2.0 está promocionando sus características entre aquellos delincuentes que quieran formar parte de este esquema criminal para repartirse los beneficios. Este tipo de grupos se encarga de desarrollar el malware y de proporcionar soporte a los criminales que lo utilicen para cifrar los datos de sus víctimas. Cuando las víctimas pagan el rescate, este se reparte entre los afiliados encargados de acceder a las redes corporativas, robar la información y cifrarla y los desarrolladores del malware.

Normalmente, cuando los delincuentes acceden a una red corporativa y consiguen hacerse con el controlador del dominio, estos suelen utilizar software de terceros para desplegar scripts que tratan de desactivar el software antivirus que esté instalado, y así evitar que la ejecución del ransomware sea detectada y bloqueada.

Sin embargo, en las nuevas muestras detectadas se observa una automatización de este proceso mediante el cual el ransomware se distribuye de forma automática por la red corporativa cuando se ejecuta en un controlador de dominio. Para conseguirlo, el ransomware genera una nueva política de grupo en el controlador del dominio que luego es enviada a todos los dispositivos de la red.

powershell.exe -Command "Get-ADComputer -filter * -Searchbase '%s' | foreach{ Invoke-GPUpdate -computer $_.name -force -RandomDelayInMinutes 0}"

Imprimir la nota de rescate

Además, esta nueva versión de LockBit también incluye una interesante funcionalidad (vista anteriormente en otras muestras de ransomware como Egregor) que consiste en la impresión de las notas de rescate en todas las impresoras de red que estén conectadas para así llamar la atención de las víctimas.

Créditos Imagen: Lawrence Abrams



Condiciones para los "socios" de LockBit 2.0


LockBit dice que es el ransomware más rápido cifrando



Y el más rápido exfiltrando información:


Chat Soporte



BlackMatter, ¿el sucesor de Darkside y REvil?







En los últimos meses hemos visto ataques de ransomware que han afectado a importantes empresas y han protagonizado titulares en medios de todo el mundo. Tanto tras el incidente de Darkside que afectó a Colonial Pipeline en mayo como el más reciente incidente de cadena de suministro que afecto a clientes de Kaseya, ambos grupos parecieron esfumarse para dejar de llamar la atención de las autoridades que les seguían la pista.

Sin embargo, un nuevo grupo apodado BlackMatter ha aparecido recientemente indicando que combina las mejores características tanto de Darkside como de REvil. Este nuevo grupo está publicando posts en varios foros de ciberdelincuentes buscando comprar acceso a redes corporativas pertenecientes a empresas con unos beneficios anuales superiores a 100 millones de dólares.

La finalidad de este nuevo grupo es la de conseguir acceder a estas redes para robar y cifrar la información confidencial de la empresa atacada, disponiendo de la capacidad para cifrar diferentes sistemas operativos, así como también ciertos dispositivos de almacenamiento y entornos de máquinas virtuales.

Además, la existencia de un sitio web de filtraciones (aun sin información publicada) demuestra que este grupo va a seguir usando la técnica de doble extorsión para conseguir que sus víctimas paguen el rescate exigido.

Sin embargo, en este mismo sitio web podemos ver una interesante clausula en la que se indica que tipo de empresas u organizaciones no están entre su lista de objetivos. Aquí podemos encontrar industrias como la de la defensa, empresas del sector petrolífero/gas, infraestructuras críticas como las del sector energético o abastecimiento de agua, hospitales, ONGs y el sector gubernamental.

La decisión de no atacar este tipo de objetivos parece tomada claramente para evitar llamar demasiado la atención y así evitar provocar una respuesta de las autoridades que les obliguen a desaparecer, aunque sea temporalmente y luego reaparecer con otro nombre, como ya han hecho otros grupos de delincuentes.


Conclusiones

Tal y como acabamos de comprobar, el mundo del ransomware sigue muy activo y por eso es importante tener en cuenta los puntos clave y medidas necesarias que debemos adoptar para evitar ser una víctima más.


Proyecto NoMoreRansom cumple 5 años



Precisamente, esta semana se han cumplido 5 años desde el inicio del proyecto NoMoreRansom, un proyecto que ha permitido que miles de usuarios y empresas se vean obligado a pagar un rescate por sus datos, mediante el uso de descifradores gratuitos y guías para estar seguro frente a estos ataques.


Fuentes:

https://blogs.protegerse.com/2021/07/28/blackmatter-y-lockbit-2-0-nuevos-actores-y-cambios-en-el-mundo-del-ransomware/

https://www.bleepingcomputer.com/news/security/lockbit-ransomware-now-encrypts-windows-domains-using-group-policies/


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.