Microsoft advierte que el equipo del ransomware BlackCat est\u00e1 aprovechando las vulnerabilidades de los servidores de Exchange sin parches para obtener acceso a las redes objetivo.<\/p>\n
Al obtener un punto de entrada, los atacantes se movieron r\u00e1pidamente para recopilar informaci\u00f3n sobre las m\u00e1quinas comprometidas, llevando a cabo actividades de robo de credenciales y movimiento lateral, antes de recolectar propiedad intelectual y soltar la carga \u00fatil del ransomware.<\/p>\n
La secuencia completa de eventos se desarroll\u00f3 en el transcurso de dos semanas completas, el equipo de inteligencia de amenazas de Microsoft 365 Defender dijo<\/a> en un informe publicado esta semana.<\/p>\n “En otro incidente que observamos, descubrimos que un afiliado de ransomware obtuvo acceso inicial al entorno a trav\u00e9s de un servidor de escritorio remoto orientado a Internet usando credenciales comprometidas para iniciar sesi\u00f3n”, dijeron los investigadores, se\u00f1alando que “no hay dos BlackCat ‘vivos’ o las implementaciones pueden tener el mismo aspecto”.<\/p>\n BlackCat, tambi\u00e9n conocido por los nombres ALPHV y Noberus, es un participante relativamente nuevo en el espacio del ransomware hiperactivo. Tambi\u00e9n se sabe que es uno de los primeros ransomware multiplataforma escrito en Rust, lo que ejemplifica una tendencia en la que los actores de amenazas est\u00e1n cambiando a lenguajes de programaci\u00f3n poco comunes en un intento de evadir la detecci\u00f3n.<\/p>\n El esquema de ransomware como servicio (RaaS), independientemente de los diferentes vectores de acceso inicial empleados, culmina en la exfiltraci\u00f3n y el cifrado de los datos de destino que luego se retienen como parte de lo que se denomina doble extorsi\u00f3n.<\/p>\n El modelo RaaS ha demostrado ser un lucrativo ecosistema cibercriminal al estilo de la econom\u00eda de conciertos que consta de tres jugadores clave diferentes: corredores de acceso (IAB), que comprometen las redes y mantienen la persistencia; operadores, que desarrollan y mantienen las operaciones de ransomware; y afiliados, que compran el acceso a los IAB para implementar la carga \u00fatil real.<\/p>\n Seg\u00fan una alerta publicada por la Oficina Federal de Investigaciones (FBI) de los EE. UU., los ataques del ransomware BlackCat han afectado al menos a 60 entidades en todo el mundo hasta marzo de 2022 desde que se detect\u00f3 por primera vez en noviembre de 2021.<\/p>\n Adem\u00e1s, Microsoft dijo que “dos de los grupos de amenazas afiliados m\u00e1s prol\u00edficos”, que se han asociado con varias familias de ransomware como Hive, Conti, REvil y LockBit 2.0, ahora est\u00e1n distribuyendo BlackCat.<\/p>\n Esto incluye DEV-0237 (tambi\u00e9n conocido como FIN12), un actor de amenazas con motivaci\u00f3n financiera que se vio por \u00faltima vez apuntando al sector de la salud en octubre de 2021, y DEV-0504, que ha estado activo desde 2020 y tiene un patr\u00f3n de cambio de cargas \u00fatiles cuando se cierra un programa RaaS. abajo.<\/p>\n “DEV-0504 fue responsable de implementar el ransomware BlackCat en empresas del sector energ\u00e9tico en enero de 2022”, Microsoft se\u00f1alado<\/a> el mes pasado. “Casi al mismo tiempo, DEV-0504 tambi\u00e9n implement\u00f3 BlackCat en ataques contra empresas de las industrias de moda, tabaco, TI y manufactura, entre otras”.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/05\/El-popular-paquete-PyPI-ctx-y-la-biblioteca-PHP-phpass.png\")
<\/a><\/div>\n![\"ransomware](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/06\/1655386134_7_BlackCat-Ransomware-Gang-apuntando-a-servidores-de-Microsoft-Exchange-sin.jpg\" "\\"ransomware")
<\/div>\n![\"ransomware](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/06\/1655386134_18_BlackCat-Ransomware-Gang-apuntando-a-servidores-de-Microsoft-Exchange-sin.jpg\" "\\"ransomware")
<\/div>\n![\"La](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ\/s1600\/crowdsec-728.jpg\")
<\/a><\/div>\n