En el sombrío mundo de la ciberdelincuencia, el ransomware BlackCat surge como una amenaza formidable y sofisticada. Sigue leyendo para obtener más información sobre el funcionamiento interno del ransomware BlackCat y cómo protegerte contra él.
¿Qué es el ransomware BlackCat?
Desde su aparición en noviembre de 2021, BlackCat, también conocido como ALPHV o ALPHV-ng, se convirtió en una amenaza importante en el ámbito del ransomware. Esta cepa de ransomware funciona como Ransomware como servicio (RaaS) y se considera una de las operaciones RaaS más sofisticadas. BlackCat sobresale por su uso del lenguaje de programación Rust y una escalofriante estrategia de "triple extorsión".
¿Cómo funciona el ransomware BlackCat?
El ransomware BlackCat funciona como software malicioso, y se distingue por su uso poco convencional del lenguaje de programación Rust. Su capacidad de adaptación se prolonga a una amplia gama de dispositivos objetivo y posibles vulnerabilidades, y muchas veces se alinea con grupos de actividad de amenazas establecidos. La malevolencia de BlackCat reside en su enfoque inquebrantable: cifra los datos de la víctima, los exfiltra y emplea una despiadada táctica de "triple extorsión". La triple extorsión no solo consiste en la amenaza de exponer los datos robados si no se paga el rescate, sino que también supone la ominosa posibilidad de un ataque de denegación de servicio distribuido (DDoS) si no se satisfacen las peticiones de rescate.
Como operación de Ransomware como servicio (RaaS), el modelo de negocio de BlackCat gira en torno a permitir que otros ciberdelincuentes utilicen su ransomware, realicen sus propias campañas y se embolsen una parte sustancial de los beneficios, superando el estándar del sector del 70 %. El atractivo de BlackCat aumenta aún más por su gran variedad de opciones de personalización, que hacen que incluso los afiliados menos experimentados sean capaces de orquestar ataques sofisticados contra entidades corporativas. Si bien las peticiones de rescate de BlackCat suelen ascender a millones, con un pago anticipado se pueden conseguir descuentos. Sin embargo, las organizaciones deben ser cautelosas cuando contemplen la posibilidad de pagar, ya que el pago puede financiar involuntariamente una actividad delictiva, sin que exista ninguna garantía de que se puedan recuperar los archivos.
Por lo general, los autores de BlackCat exigen un pago en criptomoneda, como Bitcoin, a cambio de la esquiva clave de descifrado. Además, las víctimas deben lidiar con mensajes en pantalla que les indican cómo enviar el rescate y obtener la clave de descifrado, lo que intensifica aún más la presión de la campaña de extorsión.
¿Cómo se propaga el ransomware BlackCat?
Los principales vectores de ataque de BlackCat son los correos electrónicos infectados y los vínculos a sitios web maliciosos, que atraen a usuarios desprevenidos a su trampa. Una vez dentro, la virulencia de BlackCat garantiza que prolifere rápida y ampliamente por todo el sistema.
Lo que distingue a BlackCat de otras variantes de ransomware es su uso del lenguaje de programación Rust. Rust se caracteriza por sus excepcionales atributos, como la velocidad, la estabilidad, la administración avanzada de la memoria y su capacidad para eludir los métodos de detección establecidos. Estas características lo convierten en una potente herramienta en manos de los ciberdelincuentes. En particular, BlackCat se adapta también a plataformas distintas de Windows, como Linux, que suelen enfrentarse a menos amenazas de malware. Esto plantea retos sin precedentes a los administradores de Linux encargados de combatir esta amenaza en evolución.
Un archivo de configuración JSON resalta la flexibilidad de BlackCat, ya que permite a los usuarios seleccionar entre cuatro algoritmos de cifrado diferentes, personalizar las notas de rescate, especificar exclusiones para archivos, carpetas y extensiones, y definir servicios y procesos para su terminación, lo que garantiza un proceso de cifrado perfecto. Además, la configurabilidad de BlackCat se extiende al uso de credenciales de dominio, lo que mejora su capacidad para propagarse a otros sistemas.
BlackCat también se aventuró más allá de los confines de la web oscura, y estableció un sitio web de filtración de datos en la Internet pública. Mientras que otros grupos suelen operar estos sitios en la web oscura para demostrar la vulneración de datos y coaccionar a las víctimas para que paguen rescates, el sitio público de BlackCat cambia las reglas del juego al ofrecer visibilidad a un público más amplio, como clientes actuales y potenciales, accionistas y periodistas.
Víctimas frecuentes del ransomware BlackCat
En consonancia con el modus operandi de las amenazas de ransomware de grandes cazadores, por lo general, las víctimas del ransomware BlackCat son organizaciones de tamaño considerable, elegidas estratégicamente para maximizar el pago potencial del rescate. Según los informes, los rescates exigidos cambiaron sustancialmente, oscilando entre cientos de miles y muchos millones de dólares, que deben pagarse en criptomoneda.
Si bien se desconoce la cantidad exacta de víctimas, la amenazadora presencia de BlackCat queda patente en la revelación de más de veinte organizaciones objetivo en el sitio de filtraciones Tor del grupo. Entre las víctimas hay varias industrias y países, como Alemania, Australia, Bahamas, España, Estados Unidos, Filipinas, Francia, Italia, Países Bajos y Reino Unido. Hay un amplio espectro de sectores afectados, que van desde los servicios empresariales, la construcción y la energía hasta la moda, las finanzas, la logística, la fabricación, los productos farmacéuticos, el comercio minorista y la tecnología.
Ejemplos de ataques del ransomware BlackCat
Noviembre de 2023: Heny Schein
En noviembre de 2023, el ransomware BlackCat atacó a la organización de asistencia sanitaria Henry Schein, incluida en la lista Fortune 500. Según los informes, la banda de ransomware, también conocida como ALPHV, afirmó haber robado 35 TB de datos e inició negociaciones con Henry Schein. Al principio, la empresa recibió una clave de descifrado y empezó a restaurar sus sistemas, pero la banda volvió a cifrarlo todo cuando se rompieron las negociaciones. La situación se agravó cuando la banda amenazó con hacer públicos datos internos, pero más tarde los borraron de su sitio web, lo cual insinuaba un posible acuerdo. El ataque se produjo dos semanas antes de que los datos se publicaran en línea, lo que provocó una interrupción temporal de las operaciones de Henry Schein. La empresa tomó medidas de precaución, denunció el incidente a la policía y contrató a expertos forenses para la investigación.
Agosto de 2023: Seiko Group Corporation
Seiko Group Corporation confirmó una vulneración de datos por parte de la banda de ransomware BlackCat en agosto de 2023, que afectó a 60 000 registros expuestos. Los datos afectados constaban de registros de clientes, contactos de transacciones comerciales, datos de solicitantes de empleo e información de personal. Y lo que es más importante, los datos de las tarjetas de crédito permanecieron seguros. Como respuesta, Seiko llevó a cabo una serie de medidas de seguridad, como bloquear la comunicación con servidores externos, implementar sistemas EDR y aplicar la autenticación multifactor. Seiko confirmó sus planes de colaborar con expertos en ciberseguridad para reforzar la seguridad y evitar futuros incidentes.
Cómo protegerse de los ataques del ransomware BlackCat
La defensa de tus sistemas y datos contra el ransomware BlackCat es similar a las medidas de protección empleadas para frustrar otras variantes de ransomware. Estas son las medidas preventivas:
Educación de los empleados:
Educar a los empleados para contrarrestar el ransomware BlackCat y otras amenazas de malware implica diversos puntos clave:
- La formación debe abarcar la detección de correos electrónicos de phishing, un método habitual de distribución de ransomware.
- Los correos electrónicos de phishing suelen hacerse pasar por fuentes fiables, como bancos o empresas de transporte. A veces contienen archivos adjuntos maliciosos o vínculos para instalar ransomware.
- Es fundamental tener precaución al manejar correos electrónicos de remitentes desconocidos y evitar las descargas no autorizadas.
- Los empleados deben mantener actualizados el software y los programas antivirus, y saber cómo informar actividades sospechosas al personal de TI o de seguridad.
- La capacitación constante en materia de seguridad permite a los empleados estar bien informados sobre las últimas amenazas de ransomware y las mejores prácticas de prevención. De este modo se reduce el riesgo de un incidente de ransomware BlackCat y otros peligros de ciberseguridad.
Cifrado de datos y controles de acceso:
Proteger los datos confidenciales es una defensa sólida contra el ransomware BlackCat y amenazas similares. Al implementar controles de cifrado y acceso, las organizaciones logran reducir considerablemente el riesgo de infección por el ransomware BlackCat y las posibles consecuencias de un ataque consumado:
- El cifrado consiste en convertir los datos en un código prácticamente indescifrable sin la correspondiente clave de descifrado.
- Esto protegerá los datos aunque el ransomware se infiltre en el sistema y acceda a la información cifrada.
- Los datos importantes, como los registros financieros, la información personal y los archivos empresariales clave, deben estar siempre cifrados.
- Se pueden emplear varias herramientas de cifrado, como BitLocker para Windows o FileVault para Mac, o software de cifrado de terceros.
- También es indispensable aplicar controles de acceso para restringir el acceso a los datos, mediante procesos de autenticación y autorización de usuarios según las responsabilidades del puesto, y requisitos estrictos en materia de contraseñas.
- Incluso si un atacante consigue acceder a los datos cifrados, seguirán siendo inaccesibles sin la clave de descifrado, que debe almacenarse de forma segura y aparte de los datos cifrados.
Copia de seguridad de datos:
Hacer copias de seguridad de los datos con frecuencia es una de las defensas más eficaces contra el ransomware BlackCat y otros tipos de malware similares:
- Se trata de crear duplicados de archivos importantes y guardarlos en un lugar distinto, como un disco duro externo, el almacenamiento en la nube o en otra computadora.
- En caso de producirse una infección por el ransomware BlackCat, se pueden borrar los archivos afectados y restaurar los datos desde la copia de seguridad, lo que evita tener que pagar un rescate o arriesgarse a una pérdida permanente de archivos.
- Es importante que las copias de seguridad se almacenen en un lugar distinto de la computadora principal o de la red, para evitar que corran peligro. Se recomienda almacenar en distintas ubicaciones físicas o en servicios de almacenamiento en la nube de confianza con protocolos de seguridad y cifrado sólidos.
Actualizaciones de software:
Las actualizaciones periódicas del software protegen contra el ransomware BlackCat y otros tipos de malware:
- Las actualizaciones suelen contener parches de seguridad que abordan vulnerabilidades que los atacantes de ransomware pueden aprovechar. Los vendedores de software publican actualizaciones cuando descubren vulnerabilidades para evitar su aprovechamiento.
- Estas actualizaciones contienen parches de seguridad, correcciones de errores y nuevas funciones. Si se desestiman estas actualizaciones, los sistemas quedarán vulnerables a los ataques.
- Los atacantes suelen atacar software desactualizados, como sistemas operativos, navegadores web y complementos. La instalación constante de actualizaciones aumenta la seguridad y dificulta a los atacantes el aprovechamiento de vulnerabilidades.
- Emplear un software automatizado de administración de parches agiliza aún más el proceso de actualización, ya que automatiza las instalaciones, programa las actualizaciones en horas no operativas y proporciona informes de estado detallados sobre las actualizaciones del sistema. Esta combinación de actualizaciones periódicas y administración automatizada de parches disminuye el riesgo de infecciones por ransomware BlackCat y otras ciberamenazas.
Empleo de herramientas de ciberseguridad:
Si bien adoptar las medidas anteriores mejorará considerablemente la defensa contra el ransomware BlackCat, es fundamental complementar estas estrategias con el uso de productos de ciberseguridad específicos. Por ejemplo:
- Kaspersky Premium ofrece protección integral contra una amplia gama de ciberamenazas, como el ransomware, con detección de amenazas en tiempo real, firewalls avanzados y actualizaciones automáticas para una seguridad continua.
- Kaspersky VPN mejora la seguridad en línea al cifrar tu conexión a Internet y enrutarla a través de servidores seguros, lo que la hace ideal para proteger tus datos, sobre todo en redes Wi-Fi públicas.
- Para una mayor protección contra el ransomware, Kaspersky Password Manager almacena y genera de forma segura contraseñas seguras y exclusivas para tus cuentas en línea, lo que reduce el riesgo de vulneración por contraseñas débiles o reutilizadas.
Para concluir, dado que el panorama de las amenazas sigue evolucionando, no se puede dejar de insistir en la importancia de combinar prácticas sólidas de ciberseguridad con herramientas de vanguardia. Aplicar un enfoque holístico que incluya la capacitación de los empleados, el cifrado de datos, los controles de acceso, las copias de seguridad periódicas de los datos y las actualizaciones de software, junto con el uso de productos de ciberseguridad, maximizará tu seguridad en línea y te ayudará a defenderte contra el ransomware BlackCat y otras amenazas maliciosas.
Preguntas frecuentes sobre el ransomware BlackCat
¿Qué es el ransomware BlackCat?
BlackCat, también conocido como ALPHV o ALPHV-ng, surgió en noviembre de 2021, y desde entonces se convirtió en una amenaza importante en el panorama del ransomware. BlackCat opera como un Ransomware como servicio (RaaS) y se considera una de las operaciones RaaS más avanzadas hasta la fecha. BlackCat se caracteriza por utilizar el lenguaje de programación Rust y un formidable enfoque de "triple extorsión".
¿Qué ejemplos hay de víctimas del ransomware BlackCat?
BlackCat tiene como objetivo estratégico las grandes organizaciones para el pago de rescates sustanciales, y exige distintas sumas, por lo general de cientos de miles a millones de dólares en criptomoneda. Se detectaron más de veinte organizaciones víctimas en el sitio de fugas Tor del grupo, procedentes de diversos países de todo el mundo. Los sectores a los que va dirigido son los servicios empresariales, la construcción, la energía, la moda, las finanzas, la logística, la fabricación, los productos farmacéuticos, el comercio minorista y la tecnología.
Productos relacionados:
Artículos relacionados: