Los actores de amenazas detrás del ransomware BlackCat han desarrollado una variante mejorada que prioriza la velocidad y el sigilo en un intento de evadir las barreras de seguridad y lograr sus objetivos.
La nueva versión, llamada Sphynx y anunciada en febrero de 2023, incluye "numerosas capacidades actualizadas que refuerzan los esfuerzos del grupo para evadir la detección", según un nuevo análisis de IBM Security X-Force. La actualización del "producto" fue destacada por primera vez por vx-underground en abril de 2023. Trend Micro, el mes pasado, detalló una versión de Sphynx para Linux que se enfoca principalmente en su rutina de encriptación.
BlackCat, también conocido como ALPHV y Noberus, es la primera cepa de ransomware basada en el lenguaje de programación Rust detectada en la naturaleza. Activo desde noviembre de 2021, se ha convertido en un actor de ransomware formidable, victimizando a más de 350 objetivos hasta mayo de 2023.
El grupo, al igual que otras ofertas de ransomware como servicio (RaaS), se sabe que opera un esquema de doble extorsión, desplegando herramientas personalizadas de extracción de datos como ExMatter para robar datos sensibles antes de la encriptación.
El acceso inicial a las redes objetivo generalmente se obtiene a través de una red de actores llamados intermediarios de acceso inicial (IABs), que utilizan malware de robo de información listo para usar para recolectar credenciales legÃtimas. BlackCat Ransomware También se ha observado que BlackCat comparte similitudes con la familia de ransomware BlackMatter, ahora extinta, según Cisco Talos y Kaspersky.
Los últimos hallazgos ofrecen una visión del ecosistema del cibercrimen en constante evolución, en el que los actores de amenazas mejoran sus herramientas y técnicas para aumentar la probabilidad de un compromiso exitoso, sin mencionar frustrar la detección y evadir el análisis.
EspecÃficamente, la versión Sphynx de BlackCat incorpora código basura y cadenas encriptadas, al tiempo que redefine los argumentos de la lÃnea de comandos pasados al binario. Sphynx también incorpora un cargador para desencriptar la carga útil del ransomware que, al ejecutarse, realiza actividades de descubrimiento de red para buscar sistemas adicionales, elimina las copias de seguridad de volumen, encripta archivos y finalmente deja una nota de rescate.
A pesar de las campañas de las fuerzas del orden contra el cibercrimen y los grupos de ransomware, el cambio continuo de tácticas es una prueba de que BlackCat sigue siendo una amenaza activa para las organizaciones y no muestra "indicios de disminuir".
La firma de ciberseguridad finlandesa WithSecure, en una investigación reciente, describió cómo los ingresos financieros ilÃcitos asociados con los ataques de ransomware han llevado a una "profesionalización del cibercrimen" y al surgimiento de nuevos servicios subterráneos de apoyo. "Muchos grupos importantes de ransomware operan como proveedores de servicios o en un modelo RaaS, donde suministran herramientas y experiencia a afiliados y, a cambio, se llevan una parte de las ganancias", dijo la compañÃa.
"Estas ganancias han impulsado el rápido desarrollo de una industria de servicios que proporciona todas las herramientas y servicios que un grupo de amenazas en ciernes podrÃa necesitar, y gracias a las criptomonedas y los servicios de enrutamiento en la web oscura, los diferentes grupos involucrados pueden comprar y vender servicios de forma anónima y acceder a sus ganancias".
¿Quieres saber más?