El equipo de ransomware BlackCat ha sido visto ajustando su arsenal de malware para pasar desapercibido y expandir su alcance.<\/p>\n
“Entre algunos de los desarrollos m\u00e1s notables se encuentra el uso de una nueva versi\u00f3n de la herramienta de exfiltraci\u00f3n de datos Exmatter y el uso de Eamfo, un malware que roba informaci\u00f3n y est\u00e1 dise\u00f1ado para robar credenciales almacenadas por el software de copia de seguridad de Veeam”, investigadores de Symantec. dijo<\/a> en un nuevo informe.<\/p>\n BlackCat, tambi\u00e9n conocido por los nombres ALPHV y Noberus, se atribuye a un adversario rastreado como Coreid (tambi\u00e9n conocido como FIN7, Carbanak o Carbon Spider) y se dice que es un sucesor renombrado<\/a> de DarkSide y BlackMatter, que cerraron el a\u00f1o pasado tras una serie de ataques de alto perfil, incluido el de Colonial Pipeline.<\/p>\n Se sabe que el actor de amenazas, al igual que otros grupos de ransomware notorios, ejecuta una operaci\u00f3n de ransomware como servicio (RaaS), que involucra a sus desarrolladores principales que solicitan la ayuda de afiliados para llevar a cabo los ataques a cambio de una parte del il\u00edcito. producto.<\/p>\n ALPHV es tambi\u00e9n una de las primeras cepas de ransomware que se programan en Rust, una tendencia que desde entonces ha sido adoptada por otras familias como Hive y Luna en los \u00faltimos meses para desarrollar y distribuir malware multiplataforma.<\/p>\n La evoluci\u00f3n de las t\u00e1cticas, herramientas y procedimientos (TTP) del grupo se produce m\u00e1s de tres meses despu\u00e9s de que se descubriera que la banda de ciberdelincuentes explotaba servidores de Microsoft Exchange sin parches como conducto para implementar ransomware.<\/p>\n Las actualizaciones posteriores de su conjunto de herramientas incorporaron nuevas funcionalidades de encriptaci\u00f3n que permiten que el malware reinicie las m\u00e1quinas Windows comprometidas en modo seguro para eludir las protecciones de seguridad.<\/p>\n “En una actualizaci\u00f3n de julio de 2022, el equipo agreg\u00f3 la indexaci\u00f3n de datos robados, lo que significa que sus sitios web de fugas de datos se pueden buscar por palabra clave, tipo de archivo y m\u00e1s”, dijeron los investigadores.<\/p>\n Las \u00faltimas mejoras se refieren a Exmatter, una herramienta de exfiltraci\u00f3n de datos utilizada por BlackCat en sus ataques de ransomware. Adem\u00e1s de recopilar archivos solo con un conjunto espec\u00edfico de extensiones, la versi\u00f3n renovada genera un informe de todos los archivos procesados \u200b\u200be incluso los corrompe.<\/p>\n En el ataque tambi\u00e9n se implement\u00f3 un malware de robo de informaci\u00f3n llamado Eamfo que est\u00e1 dise\u00f1ado para desviar las credenciales almacenadas en el software de respaldo de Veeam y facilitar la escalada de privilegios y el movimiento lateral.<\/p>\n Los hallazgos son otra indicaci\u00f3n de que los grupos de ransomware son expertos en adaptar y refinar continuamente sus operaciones para seguir siendo efectivos el mayor tiempo posible.<\/p>\n “Su desarrollo continuo tambi\u00e9n subraya el enfoque del grupo en el robo y la extorsi\u00f3n de datos, y la importancia de este elemento de ataques para los actores de ransomware ahora”, dijeron los investigadores.<\/p>\n Tambi\u00e9n se ha observado recientemente que BlackCat utiliza el malware Emotet como vector de infecci\u00f3n inicial, sin mencionar la afluencia de nuevos miembros del ahora desaparecido grupo de ransomware Conti tras la retirada de este \u00faltimo del panorama de amenazas este a\u00f1o.<\/p>\n La extinci\u00f3n de Conti tambi\u00e9n estuvo acompa\u00f1ada por la aparici\u00f3n de una nueva familia de ransomware denominada Monti<\/a>un grupo “doppelganger” que se ha encontrado haci\u00e9ndose pasar deliberada y descaradamente por los TTP del equipo Conti y sus herramientas.<\/p>\n La noticia de que BlackCat agrega una lista renovada de herramientas a sus ataques llega como un desarrollador asociado con el malware de cifrado de archivos LockBit 3.0 (tambi\u00e9n conocido como LockBit Black) supuestamente filtr\u00f3 el constructor<\/a> se utiliza para crear versiones personalizadas, lo que genera preocupaciones de que podr\u00eda conducir a un abuso m\u00e1s generalizado por parte de otros actores menos calificados.<\/p>\n No es solo LockBit. En los \u00faltimos dos a\u00f1os, los grupos de ransomware Babuk y Conti sufrieron infracciones similares, lo que redujo efectivamente la barrera de entrada y permiti\u00f3 que los actores maliciosos lanzaran r\u00e1pidamente sus propios ataques.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/09\/Ucrania-arresta-a-grupo-de-ciberdelincuencia-por-vender-datos-de.png\")
<\/a><\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/09\/1664172432_568_Ucrania-arresta-a-grupo-de-ciberdelincuencia-por-vender-datos-de.png\")
<\/a><\/div>\n