BlackCat, también conocido como ALPHV, es un Ransomware as a Service-RaaS que ha ido ganando notoriedad desde noviembre de 2021, ha estado en el punto de mira y ha causado importantes daños a varias empresas de todo el mundo. Este ransomware está escrito en lenguaje Rust y puede infectar sistemas Linux y Windows.
El grupo destaca por su eficacia a la hora de comercializar con sus afiliados y porque éstos reciben una generosa parte del pago de los rescates, además de utilizar tácticas de doble y triple extorsión cobrando un rescate para desencriptar archivos, amenazando con liberarlos o realizando ataques ataques DDoS ataques si no se paga el rescate.
MITRE ATT&CK
Ya se han mapeado algunas tácticas del MITRE y se han identificado las formas de ataque más recurrentes de este grupo. Estas son:
| T1027.002 | Archivos o información ofuscados: empaquetado de software |
| T1027 | Archivos o información ofuscados |
| T1007 | Descubrimiento de servicios del sistema |
| T1040 | Escaneado de redes |
| T1059 | Intérprete de comandos y secuencias de comandos |
| TA0010 | Exfiltración |
| T1082 | Descubrimiento de información del sistema |
| T1133 | Servicios remotos externos |
| T1490 | Inhibir la recuperación del sistema |
| T1485 | Destrucción de datos |
| T1078 | Cuentas válidas |
| T1586 | Cuentas de compromiso |
| T1486 | Datos cifrados para evitar impactos |
| T1590 | Recopilar información sobre la red de víctimas |
| T1592 | Recopilar información sobre la víctima |
| T1140 | Codificar/Decodificar archivos o información |
| T1202 | Ejecución indirecta de órdenes |
| T1543.003 | Crear o Modificar Proceso del Sistema: Servicio de Windows |
| T1550.002 | Utilizar material de autenticación alternativo: pasar el hash |
IoCs
Además de hashes y URLs, también se han identificado comandos y procesos utilizados por el grupo que pueden ayudar en la detección de esta variante de ransomware. Aunque se trata de comandos y procesos legítimos, también se consideran sospechosos:
Comandos ejecutados en Linux/VMware ESXi:
- esxcli -formatter=csv -format-param=fields=="WorldID,DisplayName" vm process list | awk -F "\"*,\"*" '{system("esxcli vm process kill -type=force -world-id="$1)}'
- for i in `vim-cmd vmsvc/getallvms| awk ‘{print$1}’`;do vim-cmd vmsvc/snapshot.removeall $i & done
Comandos y procesos en Windows:
- arp -a
- %SYSTEM32%\DllHost.exe /Processid:{3E5FC7F9-9A51-4367-9063-A120244FBEC7}
- for /F \"tokens=*\" %1 in ('wevtutil.exe el') DO wevtutil.exe cl \"%1\""
- fsutil behavior set SymlinkEvaluation R2L:1
- fsutil behavior set SymlinkEvaluation R2R:1
- psexec.exe -accepteula \\<TARGET_HOST> -u <USERNAME> -p <PASSWORD> -s -d -f -c <ALPHV_EXECUTABLE> [FLAGS] [OPTIONS] –access-token <ACCESS_TOKEN> [SUBCOMMAND]
- reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters /v MaxMpxCt /d 65535 /t REG_DWORD /f
- wmic csproduct get UUID
| URLs - Sitios web "cebolla |
| id7seexjn4bojn5rvo4lwcjgufjz7gkisaidckaux3uvjc7l7xrsiqad[.onion] sty5r4hhb5oihbq2mwevrofdiqbgesi66rvxr5sr573xgvtuvr4cs5yd[.onion] htnpafzbvddr2llstwbjouupddflqm7y7cr7tcchbeo6rmxpqoxcbqqd[.onion] aoczppoxmfqqthtwlwi4fmzlrv6aor3isn6ffaiic55wrfumxslx3vyd[.onion] alphvmmm27o3abo3r2mlmjrpdmzle3rykajqc5xsj7j7ejksbpsa36ad[.onion] 2cuqgeerjdba2rhdiviezodpu3lc4qz2sjf4qin6f7std2evleqlzjid[.onion] zujgzbu5y64xbmvc42addp4lxkoosb4tslf5mehnh7pvqjpwxn5gokyd[.onion] mu75ltv3lxd24dbyu6gtvmnwybecigs5auki7fces437xvvflzva2nqd[.onion]. |
| HASHES |
| MD5 |
| b9acf6efedadae53cf015d0aa9f32653 701b4b004eecb69046c210237846d46d fe16fa500584cb241532dc7cb75c1f53 173c4085c23080d9fb19280cc507d28d 5178bd507c07bc2d5274e0947834e48e 9502d64e8f8c0f50127e2a7263596891 cf2264987cc01dc8d3f72027347a968b 07e71cd54f3ac00b2a34c7955e5c41a8 87f9dd02e0c6346e6d1ca3957a83709a 0646491738c76fd6a9eefaed43eabf43 |
| SHA1 |
| 087497940a41d96e4e907b6dc92f75f4a38d861a 11203786b17bb3873d46acae32a898c8dac09850 2a53525eeb7b76b3d1bfe40ac349446f2add8784 45212fa4501ede5af428563f8043c4ae40faec76 57a6dfd2b021e5a4d4fe34a61bf3242ecee841b3 5869820f261f76eafa1ba00af582a9225d005c89 5c6ca5581a04955d8e4d1fa452621fbc922ecb7b 655c2567650d2c109fab443de4b737294994f1fd 783b2b053ef0345710cd2487e5184f29116e367c 89060eff6db13e7455fee151205e972260e9522a 9146a448463935b47e29155da74c68d16e0d7031 94f025f3be089252692d58e54e3e926e09634e40 a186c08d3d10885ebb129b1a0d8ea0da056fc362 c1187fe0eaddee995773d6c66bcb558536e9b62c ce5540c0d2c54489737f3fefdbf72c889ac533a9 d65a131fb2bd6d80d69fe7415dc1d1fd89290394 da1e4a09a59565c5d62887e0e9a9f6f04a18b5f4 e17dc8062742878b0b5ced2145311929f6f77abd e22436386688b5abe6780a462fd07cd12c3f3321 f466b4d686d1fa9fed064507639b9306b0d80bbf |
| SHA256 |
| 0c6f444c6940a3688ffc6f8b9d5774c032e3551ebbccb64e4280ae7fc1fac479 13828b390d5f58b002e808c2c4f02fdd920e236cc8015480fa33b6c1a9300e31 15b57c1b68cd6ce3c161042e0f3be9f32d78151fe95461eedc59a79fc222c7ed 1af1ca666e48afc933e2eda0ae1d6e88ebd23d27c54fd1d882161fd8c70b678e 28d7e6fe31dc00f82cb032ba29aad6429837ba5efb83c2ce4d31d565896e1169 2cf54942e8cf0ef6296deaa7975618dadff0c32535295d3f0d5f577552229ffc 38834b796ed025563774167716a477e9217d45e47def20facb027325f2a790d1 3d7cf20ca6476e14e0a026f9bdd8ff1f26995cdc5854c3adb41a6135ef11ba83 4e18f9293a6a72d5d42dad179b532407f45663098f959ea552ae43dbb9725cbf 59868f4b346bd401e067380cac69080709c86e06fae219bfb5bc17605a71ab3f 731adcf2d7fb61a8335e23dbee2436249e5d5753977ec465754c6b699e9bf161 74464797c5d2df81db2e06f86497b2127fda6766956f1b67b0dcea9570d8b683 7b2449bb8be1b37a9d580c2592a67a759a3116fe640041d0f36dc93ca3db4487 7e363b5f1ba373782261713fa99e8bbc35ddda97e48799c4eb28f17989da8d8e bd337d4e83ab1c2cacb43e4569f977d188f1bb7c7a077026304bf186d49d4117 c3e5d4e62ae4eca2bfca22f8f3c8cbec12757f78107e91e85404611548e06e40 c8b3b67ea4d7625f8b37ba59eed5c9406b3ef04b7a19b97e5dd5dab1bd59f283 cefea76dfdbb48cfe1a3db2c8df34e898e29bec9b2c13e79ef40655c637833ae f815f5d6c85bcbc1ec071dd39532a20f5ce910989552d980d1d4346f57b75f89 f8c08d00ff6e8c6adb1a93cd133b19302d0b651afd73ccb54e3b6ac6c60d99c6 |
Conclusión
Estar preparado para afrontar los retos que plantean los distintos tipos de ciberamenazas es ir un paso por delante. Entender cómo actúan algunos grupos es una forma de mapear y analizar los puntos de mejora a trabajar en las infraestructuras de cada empresa.
Las siguientes recomendaciones son fundamentales en este proceso de protección y se sugieren como punto de partida para una infraestructura más segura.
Recomendaciones
1. Mantenga copias de seguridad de los datos encriptadas y sin conexión, y pruébelas con frecuencia.
Las copias de seguridad deben realizarse con regularidad. Es importante que se mantengan desconectadas, ya que muchas variantes de ransomware intentan localizar y eliminar o cifrar las copias de seguridad accesibles.
2. Crear, mantener y ejecutar un plan básico de respuesta a incidentes cibernéticos, un plan de recuperación y un plan de comunicaciones asociado.
- El plan de respuesta a incidentes cibernéticos debe incluir procedimientos de respuesta y notificación para incidentes de ransomware. Recomendamos la Guía conjunta sobre ransomware de CISA y el Centro Interestatal de Información e Intercambio (MS-ISAC) para obtener más detalles sobre la creación de un plan de respuesta a incidentes cibernéticos.
- El plan de recuperación debe abordar cómo operar si se pierde el acceso o el control de las funciones críticas. CISA ofrece evaluaciones de ciberresiliencia gratuitas y no técnicas para ayudar a las organizaciones a evaluar su resiliencia operativa y sus prácticas de ciberseguridad.
3. Mitigar las vulnerabilidades y los errores de configuración de los servicios orientados a Internet para reducir el riesgo de que los actores exploten esta superficie de ataque:
a. Emplear las mejores prácticas para utilizar el Protocolo de Escritorio Remoto (RDP) y otros servicios de escritorio remoto. Los actores de amenazas a menudo obtienen acceso inicial a una red a través de servicios remotos expuestos y mal protegidos y posteriormente propagan el ransomware.
Audite la red en busca de sistemas que utilicen RDP, cierre los puertos RDP no utilizados, aplique bloqueos de cuenta tras un número determinado de intentos, aplique autenticación multifactor (MFA) y registre los intentos de inicio de sesión RDP.
b. Realizar escaneos regulares de vulnerabilidades para identificar y abordar las vulnerabilidades, especialmente las de los dispositivos orientados a Internet. CISA ofrece una variedad de servicios gratuitos de ciberhigiene, incluido el escaneado de vulnerabilidades, para ayudar a las organizaciones de infraestructuras críticas a evaluar, identificar y reducir su exposición a ciberamenazas como el ransomware. Al aprovechar estos servicios, las organizaciones de cualquier tamaño recibirán recomendaciones sobre las formas de reducir su riesgo y mitigar los vectores de ataque.
c. Actualizar oportunamente el software, incluidos los sistemas operativos, las aplicaciones y el firmware. Dé prioridad a la corrección oportuna de las vulnerabilidades y puntos vulnerables críticos de los servidores orientados a Internet, así como del software de procesamiento de datos de Internet, los navegadores web, los complementos de navegadores y los lectores de documentos. Si no es posible una reparación rápida, aplique las medidas de mitigación proporcionadas por el proveedor.
d. Asegúrese de que los dispositivos están configurados correctamente y de que las funciones de seguridad están activadas; por ejemplo, desactive los puertos y protocolos que no se estén utilizando con fines empresariales.
e. Desactivar o bloquear el protocoloServer Message Block (SMB) entrante y saliente y eliminar o desactivar las versiones obsoletas de SMB.
4. Reducir el riesgo de correos electrónicos de phishing que llegan a los usuarios finales:
a. Activación de los filtros de spam.
b. Implantar un programa de concienciación y formación sobre ciberseguridad para los usuarios que incluya orientaciones sobre cómo identificar e informar de actividades sospechosas (por ejemplo, phishing) o incidentes.
5. Utilizar las mejores prácticas de ciberseguridad disponibles:
a. Asegúrese de que todo el software antivirus, antimalware y de firmas esté actualizado.
b. Implementarlistas de aplicaciones permitidas.
c. Garantizar que las cuentas de usuario y los privilegios estén limitados mediante políticas de uso de cuentas, control de cuentas de usuario y gestión de cuentas con privilegios.
d. Emplear la AMF para el mayor número posible de servicios, especialmente para el correo web, las redes privadas virtuales (VPN) y las cuentas que acceden a sistemas críticos.
Referencias
- Mitre Att&ck
- Registro
- Cisco Talos
- Polyswarm
- Varonis