BlackCat (banda cibernética)

Organización de piratería informática criminal

BlackCat, también conocido como ALPHV ^[1] y Noberus ^[2] , es una familia de ransomware escrita en Rust . Hizo su primera aparición en noviembre de 2021. Por extensión, también es el nombre del o los actores de amenazas que lo explotan.

BlackCat opera con un modelo de ransomware como servicio (RaaS), en el que los desarrolladores ofrecen el malware para que lo utilicen sus afiliados y se quedan con un porcentaje de los pagos de rescate. Para el acceso inicial, el ransomware se basa esencialmente en credenciales robadas obtenidas a través de intermediarios de acceso inicial . El grupo opera un sitio público de filtración de datos para presionar a las víctimas a que paguen las demandas de rescate.

El grupo ha atacado a cientos de organizaciones en todo el mundo, incluidas Reddit en 2023 y Change Healthcare en 2024. ^[3] Desde su primera aparición, es uno de los ransomware más activos . ^[4]

A partir de febrero de 2024, el Departamento de Estado de EE. UU. ofrecerá recompensas de hasta 10 millones de dólares por pistas que puedan identificar o localizar a los líderes de las bandas de ransomware ALPHV/BlackCat. ^[5]

En marzo de 2024, un representante de BlackCat afirmó que el grupo cerraría sus puertas a raíz del ataque de ransomware 2024 Change Healthcare . ^[6]

Descripción

El grupo detrás de BlackCat utiliza principalmente tácticas de doble extorsión, pero a veces incluye una triple extorsión que implica exponer datos exfiltrados y amenazar con lanzar ataques distribuidos de denegación de servicio (DDoS) a la infraestructura de las víctimas. ^[7]

Los actores de amenazas afiliados a BlackCat suelen solicitar pagos de rescate de varios millones de dólares en Bitcoin y Monero y han aceptado pagos de rescate por debajo del monto inicial solicitado. Según el FBI , muchos de los desarrolladores y blanqueadores de dinero de BlackCat/ALPHV están vinculados a DarkSide/Blackmatter , lo que indica que tienen redes extensas y experiencia con operaciones de ransomware. ^[1]

El grupo es conocido por ser el primer ransomware en crear un sitio web público de filtraciones de datos en Internet abierto. Las bandas cibernéticas anteriores solían publicar datos robados en la red oscura . La innovación de BlackCat fue publicar extractos o muestras de los datos de las víctimas en un sitio accesible para cualquier persona con un navegador web. Los expertos en seguridad creen que la táctica tiene como objetivo demostrar más credibilidad a sus afirmaciones de violación de los sistemas de las víctimas y aumentar la presión sobre las organizaciones para que paguen rescates para evitar la exposición pública total de sus datos. ^[8] El grupo también imita los sitios web de sus víctimas para publicar datos robados en réplicas erróneas en la web. ^[9]

En sus primeras campañas, el ransomware Royal utilizó la herramienta de cifrado llamada "BlackCat". ^[10]

Historia

Comienzo (2021-2022)

El malware fue observado por primera vez por investigadores del MalwareHunterTeam a mediados de noviembre de 2021. ^[7]

En abril de 2022, la Oficina Federal de Investigaciones (FBI) publicó un aviso en el que se afirmaba que varios desarrolladores y lavadores de dinero de BlackCat tenían vínculos con dos grupos de ransomware como servicio (RaaS) desaparecidos: DarkSide y BlackMatter. ^[7] Según algunos expertos, el ransomware podría ser un cambio de marca de DarkSide , después de su ataque de mayo de 2021 al Colonial Pipeline . ^[11] También podría ser un sucesor del grupo cibercriminal REvil , que fue desmantelado a finales de 2021. ^[8]

A lo largo de 2022, BlackCat comprometió y extorsionó a numerosas organizaciones de alto perfil a nivel mundial, incluidas universidades, agencias gubernamentales y empresas de los sectores de energía, tecnología, fabricación y transporte. Entre las víctimas reportadas se incluyen Moncler , Swissport , North Carolina A&T , Florida International University , el estado austriaco de Carintia , Regina Public Schools , la ciudad de Alejandría , la Universidad de Pisa , Bandai Namco, Creos, Accelya, GSE, NJVC, EPM y JAKKS Pacific. ^[12]

En septiembre de 2022, un informe señaló que el ransomware estaba utilizando la botnet Emotet . ^[7]

A finales de mayo de 2022, un gobierno europeo fue atacado y le pidieron 5 millones de dólares de rescate. ^[7]

Variante de la esfinge (2023)

A principios del año 2023, Blackcat atacó a Grupo Estrategas EMM, NextGen Healthcare , Solar Industries India, Instituto Federal Do Pará , Munster Technological University y Lehigh Valley Health Network . ^[12]

En febrero de 2023, se lanzó una variante llamada "Sphynx" con actualizaciones para aumentar la velocidad y el sigilo. Se estima que, a partir de mayo de 2023, el grupo ha atacado a más de 350 víctimas en todo el mundo desde su aparición. ^[2]

En junio de 2023, el grupo se atribuyó la responsabilidad de una vulneración de los sistemas de Reddit en febrero de 2023. En su sitio de filtración de datos, afirmaron haber robado 80 GB de datos comprimidos y exigieron un rescate de 4,5 millones de dólares a Reddit . Este ataque no implicó el cifrado de datos como las típicas campañas de ransomware. ^[13]

Derribo (diciembre de 2023)

Aviso de incautación de sitio web colocado en un sitio web de Alphv/Blackcat.

El 19 de diciembre de 2023, el sitio web del grupo fue reemplazado por una imagen: un mensaje del FBI que afirmaba que "La Oficina Federal de Investigaciones confiscó este sitio como parte de una acción policial coordinada tomada contra Alphv Blackcat Ransomware". ^[14]

El FBI anunció ese mismo día que había "desmantelado" el grupo ALPHV/BlackCat confiscando varios sitios web y lanzando una herramienta de descifrado. Las víctimas de ransomware podían usar la herramienta para descifrar sus archivos sin pagar el rescate. ^[15]

A partir de febrero de 2024, el Departamento de Estado de los EE. UU. ofrece recompensas de hasta 10 millones de dólares por pistas que permitan identificar o localizar a los líderes de las bandas de ransomware ALPHV/Blackcat. Ofrecen una recompensa adicional de 5 millones de dólares por pistas sobre personas que participen en ataques de ransomware ALPHV. ^[16]

Ataque al Consejo de Consumidores de Hong Kong (mayo de 2024)

En mayo de 2024, The Standard (Hong Kong) informó que el Consejo de Consumidores de Hong Kong había sido el objetivo de "un ataque de ransomware en sus servidores y dispositivos terminales" y que dicho ataque había sido llevado a cabo por ALPHV. ^[17]

Tácticas y técnicas

La banda utiliza el malware de la botnet Emotet como punto de entrada. También utiliza Log4J Auto Expl para propagar el ransomware de forma lateral dentro de la red. ^[7]

Se observó que los actores de amenazas asociados con BlackCat utilizaban páginas web pirateadas de organizaciones legítimas para redirigir a los usuarios a páginas que alojaban malware. El instalador malicioso WinSCP distribuía una puerta trasera que contenía un Cobalt Strike Beacon para realizar actividades de intrusión posteriores. El acceso proporcionado por Cobalt Strike se utilizó para realizar reconocimiento, movimiento lateral , exfiltración de datos y manipulación del software de seguridad. Los actores de amenazas obtuvieron privilegios de administrador de dominio y comenzaron a configurar puertas traseras antes de que se descubriera el ataque. ^[18]

El grupo abusa de los objetos de política de grupo (GPO) para distribuir malware y deshabilitar controles de seguridad en las redes. ^[19]

El malware utiliza herramientas como ExMatter para robar datos confidenciales antes de implementar ransomware para cifrar archivos. ^[12]

El ransomware incorpora técnicas como código basura y cadenas cifradas para evitar ser detectado. Una vez ejecutado, BlackCat realiza un descubrimiento de red para encontrar más sistemas para infectar, elimina copias de volumen, cifra archivos y publica una nota de rescate exigiendo criptomonedas . ^[2]

Usos

MGM y Caesars

Scattered Spider , una filial de los usuarios de ALPHV (y que algunos medios especulan que es un subgrupo de ALPHV ^[20] ) formada principalmente por piratas informáticos británicos y estadounidenses, trabajó con ALPHV en sus ataques de ransomware de septiembre de 2023 contra MGM Resorts International y Caesars Entertainment , los dos operadores de casinos y empresas de juegos más grandes de Las Vegas y algunos de los más grandes del mundo. Los piratas informáticos exigieron un rescate de 30 millones de dólares a Caesars, que pagó 15 millones de dólares a los piratas informáticos. MGM, sin embargo, no pagó el rescate y, en su lugar, cerró todos los sistemas durante un período de semanas. Esto afectó aún más a las ofertas en línea de MGM, como su plataforma de apuestas deportivas BetMGM. ^{[21] [22] [23]} El ciberataque a MGM provocó un impacto significativo de 100 millones de dólares en el desempeño financiero de la empresa durante el tercer trimestre de 2023. ^[24]

Motel Uno

ALPHV también se utilizó para llevar a cabo un ataque de ransomware contra Motel One , aunque la empresa afirmó que sus operaciones comerciales normales nunca estuvieron en riesgo. Los piratas informáticos pudieron acceder a algunos datos de clientes y a unas 150 tarjetas de crédito. ^[20]

Cambiar la atención sanitaria (UnitedHealth Group)

Se informó que BlackCat estaba detrás del ataque de ransomware Change Healthcare 2024. Change Healthcare pagó un rescate de $22 millones para recuperar datos después del ataque. Sin embargo, una disputa de pago entre BlackCat y un afiliado involucrado en el ataque resultó en que un representante de BlackCat afirmara que el grupo está cerrando y vendiendo el código fuente de sus productos de ransomware. Esta disputa ha sido vista como una posible estafa de salida por los desarrolladores. ^[6]

Referencias

1. "El FBI publica informes de operaciones de seguridad asociados con el ransomware BlackCat/ALPHV | CISA". www.cisa.gov . 2022-04-22 . Consultado el 2023-07-14 .
2. Ravie, Lakshmanan (1 de junio de 2023). "El ransomware BlackCat mejorado ataca con la velocidad del rayo y tácticas sigilosas". The Hacker News . Consultado el 25 de julio de 2023 .
3. Lyons, Jessica. "Reddit confirma que la banda de ransomware BlackCat robó sus datos". www.theregister.com . Consultado el 3 de marzo de 2024 .
4. "El ransomware BlackCat (ALPHV) mejora su sigilo, velocidad y exfiltración". Security Intelligence . Consultado el 25 de julio de 2023 .
5. "Estados Unidos ofrece hasta 15 millones de dólares por información sobre la banda de ransomware ALPHV". BleepingComputer . Consultado el 20 de febrero de 2024 .
6. "El grupo de ransomware BlackCat implosiona tras un aparente pago de 22 millones de dólares por parte de Change Healthcare – Krebs on Security". 2024-03-05 . Consultado el 2024-05-21 .
7. "Ransomware destacado: BlackCat - Noticias de seguridad". www.trendmicro.com . Consultado el 14 de julio de 2023 .
8. "El ransomware Royal & BlackCat: lo que necesita saber | Tripwire" www.tripwire.com . Consultado el 26 de julio de 2023 .
9. Labs, Cyware. "ALPHV/BlackCat clona el sitio web de una víctima para publicar datos robados | Cyware Hacker News". Cyware Labs . Consultado el 26 de julio de 2023 .
10. "Ransomware Spotlight: Royal – Security News" (En el punto de mira de Royal: noticias de seguridad). www.trendmicro.com . Consultado el 11 de julio de 2023 .
11. "Desglosando la operación del ransomware BlackCat". cisecurity.org . 7 de julio de 2022.
12. Labs, Cyware. "El auge del ransomware BlackCat: una oscura historia de ciberdelincuencia | Cyware | Investigación y análisis". Cyware Labs . Consultado el 26 de julio de 2023 .
13. "La semana del ransomware: 23 de junio de 2023: los archivos de Reddit". BleepingComputer . Consultado el 25 de julio de 2023 .
14. Hay Newman, Lily (19 de diciembre de 2023). "Un importante ataque de ransomware sufre un revés extraño". Wired. Archivado desde el original el 20 de diciembre de 2023.
15. "El Departamento de Justicia desbarata la prolífica variante del ransomware ALPHV/Blackcat". Departamento de Justicia de Estados Unidos. 19 de diciembre de 2023.
16. "Estados Unidos ofrece hasta 15 millones de dólares por información sobre la banda de ransomware ALPHV". BleepingComputer . Consultado el 20 de febrero de 2024 .
17. Shi, Stacy (3 de mayo de 2024). "Las debilidades de seguridad del Consejo de Consumidores son las culpables de la filtración". The Standard . Consultado el 3 de mayo de 2024 .
18. Lakshmanan, Ravie (3 de julio de 2023). "Operadores de BlackCat distribuyen ransomware camuflado en WinSCP mediante publicidad maliciosa". The Hacker News . Consultado el 25 de julio de 2023 .
19. "El ransomware BlackCat (ALPHV) mejora su sigilo, velocidad y exfiltración". Security Intelligence . Consultado el 25 de julio de 2023 .
20. Page, Carly (3 de octubre de 2023). "Motel One dice que una banda de ransomware robó datos de tarjetas de crédito de clientes". TechCrunch . Consultado el 3 de octubre de 2023 .
21. Siddiqui, Zeba; Satter, Raphael; Satter, Raphael (22 de septiembre de 2023). "'Poder, influencia, notoriedad': los piratas informáticos de la generación Z que atacaron MGM y Caesars". Reuters . Consultado el 3 de octubre de 2023 .
22. "Los piratas informáticos vinculados a los ataques de Las Vegas son conocidos por introducirse en los sistemas de las empresas con engaños". NBC News . 2023-09-15 . Consultado el 2023-10-03 .
23. Brewer, Contessa; Goswami, Rohan (14 de septiembre de 2023). "Caesars pagó millones en rescate a un grupo de ciberdelincuentes antes del ataque a MGM". CNBC . Consultado el 3 de octubre de 2023 .
24. "UnitedHealth afirma que el grupo ransomware 'Blackcat' está detrás del ataque a la unidad tecnológica". Reuters .

Véase también

• Clop (banda cibernética)
• DarkSide (grupo de hackers)
• Conti (ransomware)
• Royal (banda cibernética)
• Araña dispersa