Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon El ransomware BlackCat


Ningún mercado acepta el vacío y esto también se aplica al ransomware. Después de que los grupos BlackMatter y REvil cesaran sus operaciones, la aparición de nuevos jugadores era solo cuestión de tiempo. Uno de ellos es el grupo ALPHV, también conocido como BlackCat, que en diciembre del año pasado publicó anuncios de sus servicios en foros de ciberdelincuentes, llamado XSS


BlackCat, también conocido como ALPHV, es una nueva versión del antiguo ransomware BlackMatter, en el que se ha reescrito todo su código en Rust, un lenguaje de programación más seguro, más sencillo de desarrollar, concurrente, multiplataforma y multiparadigma. Al igual que la gran mayoría del ransomware de la actualidad, el grupo detrás de BlackCat ofrece su herramienta como un servicio (RaaS). Varias empresas de seguridad han notificado que los dominios utilizados durante los ataques de BlackMatter se han visto reutilizados durante los ataques de BlackCat relacionando de forma directa a ambas familias. Durante el análisis de esta nueva familia se ha podido acceder a la plataforma donde los atacantes publican la información extraída durante el ataque. En ella, se pueden observar las diferentes empresas que se han visto afectadas debido a que no utilizan un dominio distinto por cada uno de los ataques. Las principales características de esta familia son: eliminación de las copias de seguridad locales, eliminación de los snapshots en sistemas ESXi, eliminación de los eventos del sistema, configuración en formato JSON cifrada con parte del parámetro "--access-token", propagación por la red, haciendo uso de PsExec y credenciales de administrador y uso combinado de los algoritmos Salsa20 y RSA, para la realización del cifrado de los ficheros.



BlackCat

A principios de diciembre de 2021, un nuevo grupo de ransomware comenzó a anunciar sus servicios en un foro clandestino ruso. Se presentaron como ALPHV, un grupo de Ransomware-as-a-Service (RaaS) de nueva generación. Poco después, mostraron sus actividades, infectando a innumerables víctimas corporativas en todo el mundo. El grupo también es conocido como BlackCat.



A diferencia de muchos agentes de ransomware, el malware BlackCat está escrito en el lenguaje de programación Rust. Rust es un lenguaje de programación multiparadigma compilado desarrollado por Mozilla Research. Está diseñado para ser «confiable, eficaz y productivo».

Gracias a las funciones avanzadas de compilación cruzada de Rust, BlackCat puede apuntar a sistemas Windows y Linux. En otras palabras, BlackCat marcó el comienzo de avances progresivos y un cambio en las tecnologías utilizadas para superar los desafíos del desarrollo de ransomware.

¿Sucesor de REvil y BlackMatter?

BlackCat se anuncia a sí mismo como el sucesor de notorios grupos de ransomware como BlackMatter y REvil. Los ciberdelincuentes declararon que resolvieron todos los errores y problemas en el desarrollo de ransomware y crearon el producto perfecto en términos de codificación e infraestructura.

Sin embargo, algunos investigadores ven al grupo no solo como los sucesores de los grupos BlackMatter y REvil, sino como un cambio de marca completo. Según Kaspersky, la telemetría sugiere que al menos algunos miembros del nuevo grupo BlackCat, tienen vínculos con el grupo BlackMatter, porque modificaron y reutilizaron una herramienta de exfiltración personalizada, llamada Fendr, y que solo se observó en la actividad de BlackMatter. 

El arsenal de BlackCat consta de varios elementos. El primero es el cifrador del mismo nombre que está escrito en lenguaje Rust, gracias al cual los atacantes lograron crear una herramienta multiplataforma con versiones del malware que funcionan tanto en entornos Windows como Linux.

En segundo lugar, está la utilidad Fendr, que se utiliza para extraer datos de la infraestructura infectada. El uso de esta herramienta sugiere que BlackCat pueda ser simplemente un cambio de imagen de BlackMatter: el único grupo conocido que usaba esta herramienta, también conocido como ExMatter.

BlackCat también utiliza la herramienta PsExec para el movimiento lateral en la red de la víctima; Mimikatz, el conocido software de los ciberdelincuentes, y el software Nirsoft para extraer contraseñas de red.

Los ciberdelincuentes añadieron recientemente la capacidad de encontrar archivos con la siguiente lista de extensiones: .sqlite, .catproduct, .rdp, .accdb, .catpart, .catdrawing, .3ds, .dwt y .dxf. Este tipo de archivos están relacionados con aplicaciones de diseño industrial y herramientas de acceso remoto, y esto puede significar que los creadores del malware se dirijan ahora a entornos industriales.

Amplia gama de herramientas de acceso remoto

Una vez que se hicieron con un ordenador interno, los atacantes instalaron varias utilidades de acceso remoto para disponer de métodos de respaldo para conectarse remotamente a las redes de los objetivos. Los atacantes utilizaron las herramientas comerciales AnyDesk y TeamViewer, y también instalaron una herramienta de acceso remoto de código abierto llamada nGrok.

Los atacantes también utilizaron comandos PowerShell para descargar y ejecutar balizas Cobalt Strike en algunas máquinas, y una herramienta llamada Brute Ratel, que es una suite de pentesting más reciente con características de acceso remoto similares a Cobalt Strike. Los atacantes habían instalado el binario de Brute Ratel como un servicio de Windows llamado wewe en al menos una máquina afectada.

La investigación de los casos de ransomware se complicó por el hecho de que algunas de las organizaciones atacadas ejecutaban servidores que habían sido comprometidos previamente utilizando la vulnerabilidad Log4j. Se descubrió que algunos servidores ejecutaban una variedad de criptomineros y otro malware que no estaba relacionado con el incidente del ransomware.

Para complicar el análisis, el propio binario del ransomware requiere que quien lo despliegue añada un “token de acceso” (una cadena hexadecimal de 64 bytes) a la línea de comandos que lanza el ejecutable, o de lo contrario no se ejecutará. Durante las ejecuciones de prueba del ransomware, éste intenta descubrir los recursos compartidos de red de Windows y copiarse a sí mismo en esas ubicaciones. Cuando se ejecutó en una máquina virtual de Windows, el ransomware montó varios recursos compartidos como nuevas letras de unidad y se duplicó a sí mismo en la raíz de esas unidades.

Además de pedir el rescate de los ordenadores de la red, los autores de la amenaza pasaron algún tiempo buscando, recopilando y luego exfiltrando grandes volúmenes de datos sensibles de los objetivos, subiéndolos al proveedor de almacenamiento en la nube Mega. Los atacantes utilizaron una herramienta de terceros llamada DirLister para crear una lista de directorios y archivos accesibles, o en algunos casos utilizaron un script de PowerShell de un conjunto de herramientas de pentester, llamado PowerView.ps1, para enumerar las máquinas de la red, y en algunos casos utilizaron una herramienta llamada LaZagne para extraer las contraseñas guardadas en varios dispositivos.



Una vez que los atacantes reunieron los archivos que planeaban exfiltrar, utilizaron la utilidad de compresión WinRAR para comprimir los archivos en archivos .rar. Utilizaron una herramienta llamada rsync para subir los datos robados desde algunas redes, pero también utilizaron el propio software MEGASync de Mega o, en algunos casos, sólo el navegador Chrome.

Durante el proceso de recopilación de datos, los atacantes ejecutaban varios scripts de PowerShell que podían encontrar y extraer las credenciales guardadas. Por ejemplo, un atacante en el ataque de febrero dejó un archivo llamado Veeam-Get-Creds.ps1, que puede extraer las contraseñas guardadas utilizadas por el software de Veeam para conectarse a hosts remotos.

Aparte del abuso de firewalls vulnerables como punto de entrada, y del hecho  que los objetivos tenían muchas máquinas vulnerables dentro de su red, no había ninguna característica consistente de las víctimas que fueron atacadas. Dos de las empresas atacadas tienen su sede en Asia y una en Europa. El segmento de la industria en el que cada uno de los objetivos hace negocios es distinto de los demás.


Fuentes:

https://www.kaspersky.es/blog/black-cat-ransomware/27085/
https://news.sophos.com/es-419/2022/08/04/los-ataques-del-ransomware-blackcat-no-son-solo-un-subproducto-de-la-mala-suerte-2/

https://www.ciberseguridad.eus/empresa-segura/utilidades-empresa/guias-estudios-informes/informe-malware-blackcat


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.