Resumen: Recientemente, los investigadores de SecurityScorecard, dieron a conocer un análisis sobre las tácticas, técnicas y procedimientos (TTP) utilizados por BlackCat.
BlackCat, también conocido como ALPHV, es una compleja amenaza escrita en Rust que hizo su primera aparición en noviembre del 2021.
Esta amenaza funciona como un modelo ransomware as a service (RaaS) y basa sus operaciones en una estructura de afiliados.
Es decir, BlackCat no aloja ni distribuye el malware por sí mismo, sino que confía en terceros para que lo hagan por su lado.
Ahora bien, desde hace semanas, la popular APT añadió una nueva versión de sí mismo a su arsenal, junto con una variedad de parámetros de línea de comandos nunca antes vistos.
Algunos de los parámetros nuevos son “—safeboot”, un comando capaz de reiniciar en modo seguro y "--sleep-restart", un parámetro que duerme los procesos durante un periodo de tiempo determinado.
De acuerdo con los analistas de SecurityScorecard, para obtener el acceso inicial, los operadores del ransomware penetran en los servidores vulnerables.
En esta etapa, los atacantes lanzan webshells en el servidor afectado. Los webshells son scripts maliciosos que se introducen en los sistemas para aprovechar vulnerabilidades y ejecutar tareas maliciosas.
Una vez se obtiene el acceso inicial, el ransomware instala las siguientes herramientas: MobaXterm y mottynew.exe.
Más adelante, los operadores de BlackCat roban las credenciales del entorno de sus víctimas utilizando Mimikatz o creando un archivo de volcado LSASS con Process Hacker.
De ahí, los actores de la amenaza comprimen los archivos con WinRAR o 7zip, e instalan una herramienta conocida como “rclone” para subir los datos de sus víctimas a una nube.
Finalmente, el ransomware instala una segunda herramienta llamada MEGAsync que se utiliza para exfiltrar los datos robados a una nube de almacenamiento de MEGA.
El uso de herramientas legítimas como MobaXterm o MEGAsync le permite a los atacantes evadir la detección y respuesta de puntos finales (EDR), así como del software antivirus.
Dicho esto, SecurityScorecard insta a los usuarios a mantener las mejores prácticas de seguridad, dado que BlackCat sigue siendo una amenaza vigente capaz de vulnerar hosts de Windows, Linux y VMWare ESXi.
Descargas: Medidas para prevenir un ataque ransomware Hacer copias de seguridad constantemente Mantener el software parcheado y actualizado Evitar darle click a correos electrónicos sospechosos Instalar soluciones antimalware
Si desea conocer más información al respecto, puede visitar el aviso de seguridad de Trend Micro. Referencias: https://securityscorecard.com/blog/ttps-associated-with-new-version-of-blackcat-ransomware https://www.lepide.com/blog/what-is-blackcat-ransomware/ |
SÍGUENOS