En un foro clandestino ruso, se dio a conocer a finales del año 2021 un nuevo programa maligno. Su nombre es BlackCat y es un ransomware que se denomina sucesor de BlackMatter y REvil, infectando a gran cantidad de equipos corporativos.
BlackCat es un grupo de varios malware, y la primera diferencia con otros programas malignos es que está escrito en Rust. Gracias a las funciones avanzadas de compilación cruzada de Rust, el ransomware puede afectar a equipos con Windows y Linux. Esto significa un gran avance en el desarrollo de los ransomware y según la agrupación detrás de la creación de BlackCat, ellos afirman que han desarrollado el ransomware perfecto.
Por otra parte, la telemetría de Kaspersky sugiere que BlackCat tienen vínculos con otro ransomare llamado BlackMatter debido a la reutilización de una herramienta de exfiltración llamada Fendr. Llegados a este punto con un Fendr modificado ahora conocido como ExMatter, BlackCat se conecta con la actividad de BlackMatter.
Quienes intentaron implementar este malware entre diciembre de 2021 y enero de 2022, han logrado recopilar información confidencial, demostrando una planificación y desarrollo mucho más maduro.
Incidentes conocidos de BlackCat
Continuando con la relación que se observa entre BlackCat y BlackMatter, existieron dos incidentes que dejaron vulnerabilidades al descubierto.
El primer caso fue un ERP en medio oriente que alojaba múltiples sitios, dejando a plena vista las vulnerabilidades compartidas al tener recursos compartidos en la nube. Al mismo tiempo este grupo entregó un archivo por lotes de Mimikatz junto con ejecutables y utilidades de Nirsoft.
Recordemos que Mimikatz es una aplicación que permite ver y guardar credenciales. Mientras que Nirsoft es un sitio web que ofrece herramientas para Windows que sirven para acceder a información o ajustes ocultos en el sistema operativo.
El segundo gran caso involucró a una empresa de petróleo, gas, minería y construcción en América del Sur. Por lo que este incidente vuelve a conectar BlackCat con BlackMatter, ya que el grupo detrás de este ataque intentó infiltrar el ransomware de BlackCat dentro de la red, y luego instaló una utilidad de exfiltración que ya conocemos como Fendr, el cual solo había sido utilizado por BlackMatter.
Este es un ejemplo de las extensiones de archivos de BlackCat.
Finalmente, Kaspersky ha identificado actividad de REvil principalmente en Brasil, Colombia y México.
¿Crees que estos grupos se infiltren en nuestro país?
Fuente: Securelist
