Ciberdelincuentes han ideado detrás del ransomware BlackCat una variante mejorada que prioriza la velocidad y el sigilo en un intento de eludir las barreras de seguridad y lograr sus objetivos.
La nueva versión, denominada Sphynx y anunciada en febrero de 2023, incluye una «cantidad de capacidades actualizadas que fortalecen los esfuerzos del grupo para evadir la detección», dijo IBM Security X-Force en un nuevo análisis.
La actualización del «producto» fue destacada por primera vez por vx-underground en abril de 2023. Trend Micro, el mes pasado, detalló una versión de Linux de Sphynx que está «centrada principalmente en su rutina de cifrado».
BlackCat , también llamado ALPHV y Noberus, es la primera cepa de ransomware basada en el lenguaje Rust detectada en la naturaleza. Activo desde noviembre de 2021, se ha convertido en un formidable actor de ransomware, victimizando a más de 350 objetivos a partir de mayo de 2023.
Quien está detrás de BlackCat Ransomware
Se sabe que el grupo, al igual que otras ofertas de ransomware como servicio (RaaS), opera un esquema de doble extorsión, implementando herramientas personalizadas de exfiltración de datos como ExMatter para desviar datos confidenciales antes del cifrado.
El acceso inicial a las redes seleccionadas generalmente se obtiene a través de una red de actores llamados intermediarios de acceso inicial (IAB), que emplean malware de ladrón de información estándar para recolectar credenciales legítimas.
También se ha observado que BlackCat comparte superposiciones con la ahora desaparecida familia de ransomware BlackMatter, según Cisco Talos y Kaspersky.
Los hallazgos brindan una ventana al ecosistema de ciberdelincuencia en constante evolución en el que los actores de amenazas mejoran sus herramientas y oficios para aumentar la probabilidad de un compromiso exitoso, sin mencionar la detección frustrada y el análisis de evasión.
Específicamente, la versión Sphynx de BlackCat incorpora código basura y cadenas encriptadas, mientras que también reelabora los argumentos de la línea de comandos pasados al binario.
Sphynx también incorpora un cargador para descifrar la carga útil del ransomware que, al ejecutarse, realiza actividades de descubrimiento de red para buscar sistemas adicionales, elimina instantáneas de volumen, cifra archivos y, finalmente, suelta la nota de rescate.
Cómo cuidarse de BlackCat Ransomware
A pesar de las campañas policiales contra el cibercrimen y los grupos de ransomware, el cambio continuo en las tácticas es una prueba de que BlackCat sigue siendo una amenaza activa para las organizaciones y «no tiene signos de disminuir».
La firma finlandesa de ciberseguridad WithSecure, en una investigación reciente, describió cómo los ingresos financieros ilícitos asociados con los ataques de ransomware han llevado a una «profesionalización del delito cibernético» y al advenimiento de nuevos servicios clandestinos de apoyo.
«Muchos grupos importantes de ransomware están operando un proveedor de servicios o un modelo RaaS, donde proporcionan herramientas y experiencia a los afiliados y, a cambio, obtienen una parte de las ganancias», dijo la compañía.
«Estas ganancias han impulsado el rápido desarrollo de una industria de servicios, brindando todas las herramientas y servicios que un grupo de amenazas emergente podría necesitar, y gracias a los servicios de enrutamiento de criptomonedas y web oscura, los diferentes grupos involucrados pueden comprar y vender de forma anónima. servicios y acceder a sus beneficios».
¿Has encontrado a este artículo interesante? Puedes seguirnos en Facebook , Twitter y LinkedIn para leer más contenido que publicamos o contáctanos.