BlackCat usa herramientas legítimas de pentesting para atacar a sus víctimas

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La pandilla de ransomware BlackCat, que utiliza firewalls y VPN sin parches u obsoletos, agregó Brute Ratel, una herramienta de "pentesting" , a su arsenal.

La pandilla BlackCat surgió en noviembre de 2021 y rápidamente se volvió prominente debido a su lenguaje de codificación inusual, Rust.

La pandilla se infiltra en redes y sistemas vulnerables en todo el mundo mediante la explotación de cortafuegos y redes privadas virtuales (VPN) obsoletas y sin parches.

Según la empresa de seguridad cibernética Sophos, BlackCat recientemente cambió al nuevo marco C2 posterior a la explotación Brute Ratel en sus ataques, lo que ilustra el enfoque innovador para evitar las defensas de seguridad.

"Lo que estamos viendo con BlackCat y otros ataques recientemente es que los actores de amenazas son muy eficientes y efectivos en su trabajo. Usan métodos probados y verdaderos, como atacar firewalls y VPN vulnerables porque saben que todavía funcionan", dijo Christopher Budd de Sophos.

Tan pronto como en diciembre de 2021, se le pidió al equipo de respuesta rápida de Sophos que investigara al menos cinco ataques que involucraban a BlackCat. En cuatro incidentes, la infección se produjo mediante la explotación de diferentes cortafuegos. Una vez dentro de la red, los atacantes obtuvieron credenciales de VPN, iniciaron sesión como usuarios autorizados y se movieron lateralmente por los sistemas.

Según Sophos, BlackCat también aprovechó las herramientas comerciales y de código abierto, incluidas TeamViewer, nGrok, Cobalt Strike y Brute Ratel, para crear puertas traseras adicionales y vías alternativas para el acceso remoto a los sistemas específicos.

Los ataques ocurrieron en los EE. UU., Europa y Asia en grandes corporaciones. Las empresas atacadas compartieron vulnerabilidades ambientales específicas que simplificaron el trabajo de la pandilla, incluidos los sistemas que ya no se actualizan, la falta de autenticación de múltiples factores para VPN y redes planas (donde cada máquina puede ver todos los demás dispositivos en la red).

"El denominador común de todos estos ataques es que fueron fáciles de realizar. En un caso, los mismos atacantes de BlackCat instalaron criptomineros un mes antes de lanzar el ransomware. Esta última investigación destaca lo importante que es seguir las mejores prácticas de seguridad establecidas; todavía tienen mucho poder para prevenir y frustrar ataques, incluidos múltiples ataques contra una sola red".

La última víctima de BlackCat

La editorial japonesa de videojuegos Bandai Namco ha confirmado un ciberataque. Según un grupo de investigación de seguridad VX-Underground, BlackCat, también conocido como ALPHV, estaba detrás del ataque.

Como tantos otros en el submundo criminal, BlackCat opera un negocio de ransomware como servicio (RaaS), vendiendo suscripciones de malware a los delincuentes.

ALPHV/BlackCat se destacó por el uso del lenguaje de programación Rust. Según un análisis realizado por el equipo de inteligencia de amenazas de Microsoft 365 Defender, se sabía que los actores de amenazas que comenzaron a implementar ALPHV/BlackCat trabajaban con otras familias de ransomware prominentes como Conti, LockBit y REvil.

El FBI cree que los lavadores de dinero del cartel ALPHV/BlackCat están vinculados a los carteles de ransomware Darkside y Blackmatter, lo que indica que el grupo tiene una red bien establecida de operativos en el negocio del ransomware.

Últimamente, ALPHV/BlackCat ha estado entre las pandillas de ransomware más activas. Según el analista de ciberseguridad ANOZR WAY, el grupo fue responsable de aproximadamente el 12% de todos los ataques en 2022.

La firma de ciberseguridad Digital Shadows señaló que la actividad del grupo aumentó un 117% el último trimestre. Solo LockBit y Conti superaron al grupo en el número total de víctimas violadas durante el segundo trimestre de 2022.

Más recientemente, se utilizó el ransomware ALPHV/BlackCat para atacar la Universidad de Pisa. Los actores de amenazas exigieron que la administración de la universidad pague 4,5 millones de dólares por la liberación de datos cifrados.

Fuente:
CyberNews
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta