Los investigadores de ciberseguridad han descubierto m\u00e1s v\u00ednculos entre las familias de ransomware BlackCat (tambi\u00e9n conocido como AlphaV) y BlackMatter, la primera de las cuales surgi\u00f3 como reemplazo tras el escrutinio internacional el a\u00f1o pasado.<\/p>\n
“Al menos algunos miembros del nuevo grupo BlackCat tienen enlaces al grupo BlackMatter, porque modificaron y reutilizaron una herramienta de exfiltraci\u00f3n personalizada. […] y que solo se ha observado en la actividad de BlackMatter”, los investigadores de Kaspersky dicho<\/a> en un nuevo an\u00e1lisis.<\/p>\n La herramienta, denominada Fendr, no solo se actualiz\u00f3 para incluir m\u00e1s tipos de archivos, sino que tambi\u00e9n la pandilla la utiliz\u00f3 ampliamente para robar datos de redes corporativas en diciembre de 2021 y enero de 2022 antes del cifrado, en una t\u00e1ctica popular llamada doble extorsi\u00f3n.<\/p>\n Los hallazgos llegan menos de un mes despu\u00e9s de que los investigadores de Cisco Talos identificaran superposiciones en las t\u00e1cticas, t\u00e9cnicas y procedimientos (TTP) entre BlackCat y BlackMatter, describiendo la nueva variante de ransomware como un caso de “expansi\u00f3n comercial vertical”.<\/p>\n BlackCat se destaca por dos razones: es un actor afiliado que implement\u00f3 BlackMatter en el pasado y su malware est\u00e1 escrito en Rust, lo que indica c\u00f3mo los actores de amenazas est\u00e1n cambiando cada vez m\u00e1s a los lenguajes de programaci\u00f3n con capacidades de compilaci\u00f3n cruzada.<\/p>\n El grupo “proporciona infraestructura, muestras de malware, negociaciones de rescate y, probablemente, retiros en efectivo”, se\u00f1alaron los investigadores. “Cualquiera que ya tenga acceso a entornos comprometidos puede usar las muestras de BlackCat para infectar un objetivo”.<\/p>\n Una vez ejecutado, el malware obtiene el sistema de Windows MachineGuid<\/a> del registro, una clave \u00fanica generada durante la instalaci\u00f3n del sistema operativo, as\u00ed como su UUID, antes de pasar por alto el Control de cuentas de usuario (UAC<\/a>), elimine las copias de seguridad ocultas e inicie el proceso de cifrado.<\/p>\n “Este uso de un Fendr modificado, tambi\u00e9n conocido como ExMatter, representa un nuevo punto de datos que conecta a BlackCat con la actividad pasada de BlackMatter”, dijeron los investigadores.<\/p>\n “La modificaci\u00f3n de esta herramienta reutilizada demuestra un r\u00e9gimen de planificaci\u00f3n y desarrollo m\u00e1s sofisticado para adaptar los requisitos a los entornos objetivo, caracter\u00edstico de una empresa criminal madura”.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/02\/Alertas-de-CISA-sobre-fallas-explotadas-activamente-en-la-plataforma.png\")
<\/a><\/div>\n![\"ransomware](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1649449799_269_Los-investigadores-conectan-el-ransomware-BlackCat-con-la-actividad-pasada.jpg\" "\\"ransomware")
<\/div>\n<\/a><\/div>\n