Los actores de amenazas detrás del ransomware BlackCat han ideado una variante mejorada que prioriza la velocidad y el sigilo en un intento de eludir las barreras de seguridad y lograr sus objetivos.
La nueva versión, apodada esfinge y anunciado en febrero de 2023, incluye una «cantidad de capacidades actualizadas que fortalecen los esfuerzos del grupo para evadir la detección», dijo IBM Security X-Force en un nuevo análisis.
La actualización del «producto» fue resaltado por primera vez por vx-underground en abril de 2023. Trend Micro, el mes pasado, detallado una versión de Linux de Sphynx que está «centrada principalmente en su rutina de cifrado».
BlackCat, también llamado ALPHV y Noberus, es la primera cepa de ransomware basada en el lenguaje Rust detectada en la naturaleza. Activo desde noviembre de 2021, se ha convertido en un formidable actor de ransomware, victimizando más de 350 objetivos a partir de mayo de 2023.
Se sabe que el grupo, al igual que otras ofertas de ransomware como servicio (RaaS), opera un esquema de doble extorsión, implementando herramientas de exfiltración de datos personalizadas como ExMatter para extraer datos confidenciales antes del cifrado.
El acceso inicial a las redes seleccionadas generalmente se obtiene a través de una red de actores llamados intermediarios de acceso inicial (IAB), que emplean malware de ladrón de información estándar para recolectar credenciales legítimas.
También se ha observado que BlackCat comparte superposiciones con la ahora desaparecida familia de ransomware BlackMatter, según Cisco Talos y Kaspersky.
Los hallazgos brindan una ventana al ecosistema de ciberdelincuencia en constante evolución en el que los actores de amenazas mejoran sus herramientas y oficios para aumentar la probabilidad de un compromiso exitoso, sin mencionar la detección frustrada y el análisis de evasión.
Específicamente, la versión Sphynx de BlackCat incorpora código basura y cadenas encriptadas, mientras que también reelabora los argumentos de la línea de comandos pasados al binario.
Sphynx también incorpora un cargador para descifrar la carga útil del ransomware que, al ejecutarse, realiza actividades de descubrimiento de red para buscar sistemas adicionales, elimina instantáneas de volumen, cifra archivos y, finalmente, suelta la nota de rescate.
Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
A pesar de las campañas policiales contra el cibercrimen y los grupos de ransomware, el cambio continuo en las tácticas es una prueba de que BlackCat sigue siendo una amenaza activa para las organizaciones y «no tiene signos de disminuir».
 |
| Fuente: WithSecure |
La firma finlandesa de ciberseguridad WithSecure, en una investigación reciente, descrito cómo los ingresos financieros ilícitos asociados con los ataques de ransomware han llevado a una «profesionalización del delito cibernético» y al advenimiento de nuevos servicios clandestinos de apoyo.
«Muchos grupos importantes de ransomware están operando un proveedor de servicios o un modelo RaaS, donde proporcionan herramientas y experiencia a los afiliados y, a cambio, obtienen una parte de las ganancias», dijo la compañía.
«Estas ganancias han impulsado el rápido desarrollo de una industria de servicios, brindando todas las herramientas y servicios que un grupo de amenazas emergente podría necesitar, y gracias a los servicios de enrutamiento de criptomonedas y web oscura, los diferentes grupos involucrados pueden comprar y vender de forma anónima. servicios y acceder a sus beneficios».