Malware BlackCat (alias ALPHV)

Detectado por primera vez en noviembre de 2021, BlackCat (alias ALPHV, Noberus) está considerado como una de las cepas de malware más sofisticadas y amenazadoras de 2021 y 2022. Sin embargo, la campaña relámpago de BlackCat alcanzó su punto álgido a finales de 2022, con un descenso del 28% en las infecciones registradas. 

BlackCat es el primer malware importante escrito en el lenguaje de programación Rust, un nuevo lenguaje cuya popularidad está aumentando debido a su alto rendimiento y seguridad de memoria. BlackCat también cuenta con otra capacidad: puede comprometer sistemas operativos basados en Windows y Linux.

BlackCat es un ransomware como servicio (RaaS) operado por ALPHV, un grupo de ciberdelincuentes de habla rusa. Sus campañas suelen emplear una triple táctica de extorsión: piden rescates individuales por descifrar los archivos infectados, por no publicar los datos robados y por no lanzar ataques de denegación de servicio (DoS). Tras comprometer a unas 200 organizaciones empresariales entre noviembre de 2021 y septiembre de 2022, BlackCat ha atacado con mayor frecuencia a empresas de los sectores financiero, manufacturero, legal y de servicios profesionales, pero sus exploits abarcan todos los sectores.

BlackCat está relacionado con las variantes de ransomware BlackMatter y DarkSide en cuanto a su código fuente y usuarios. Los operadores de BlackCat anuncian el ransomware a posibles afiliados en foros privados, como los foros de la darknet XSS, Exploit Forum y RAMP5, donde buscan nuevos ciberdelincuentes que se unan a sus filas.

La primera etapa de los ataques BlackCat se basa en credenciales suplantadas, forzadas y adquiridas ilícitamente -típicamente para conexiones de Protocolo de Escritorio Remoto (RDP) y servicios de Red Privada Virtual (VPN)-, así como en vulnerabilidades publicadas como CVE (como CVE-2019-7481). 

La segunda fase de un ataque BlackCat suele comenzar estableciendo túneles SSH inversos a una infraestructura de mando y control (C2) controlada por BlackCat. A partir de ahí, los ataques son totalmente dirigidos por línea de comandos, operados por humanos y altamente configurables. La directiva principal de BlackCat después de la infección es el movimiento lateral dentro de la red de la víctima utilizando PsExec para atacar las cuentas de usuario y administrador de Active Directory y la exfiltración y cifrado de archivos confidenciales.

La carga útil principal de BlackCat es el primer malware conocido escrito en el lenguaje de programación "Rust" y puede infectar tanto sistemas basados en Windows como en Linux. BlackCat es eficaz contra todas las versiones de Windows, desde XP y posteriores (incluido Windows 11), las versiones de Windows Server desde 2008, Debian y Ubuntu Linux, el hipervisor de virtualización ESXI, así como los productos de almacenamiento en red ReadyNAS y Synology.

• Detención de las máquinas virtuales ESXi y eliminación de cualquier instantánea de ESX de copia de seguridad
• Uso de PowerShell para desactivar Windows Defender o cambiar su configuración de seguridad para desactivar determinadas funciones
• Uso de PsExec para atacar cuentas de usuario y administrador de Active Directory
• Instalar la herramienta de pruebas de penetración CobaltStrike y utilizarla para desplazarse lateralmente a otros sistemas de la misma red. 
• Prevenir su código fuente detectando herramientas de análisis de malware como hipervisores VM y deteniendo su proceso.
• Uso de una herramienta de software llamada Fendr (alias ExMatter) para filtrar archivos.PDF,.DOC,.DOCX,.XLS,.TXT,.BMP,.RDP,.SQL y.ZIP, entre otros tipos de archivos.
• Eliminación de las copias de seguridad shadow copy de Windows cuando se cifran los archivos de destino
• Evadir los productos de detección de malware cambiando su contenido binario y su firma

BlackCat también cuenta con un esquema de cifrado altamente modular definido en un archivo de configuración JSON que permite utilizar una clave única para cada campaña y dispone tanto de un proceso multihilo para el cifrado rápido de archivos como de un cifrado AES-128 multipase para disuadir cualquier intento de descifrado. BlackCat también emplea el cifrado intermitente (o cifrado parcial) para aumentar la eficacia del cifrado. BlackCat dispone de varios modos de cifrado configurables que permiten cifrar parcialmente los archivos especificando el número de bytes a cifrar, un porcentaje del archivo a cifrar o utilizando una técnica de "patrón inteligente" (cifrado de bytes individuales utilizando un módulo desplazado desde el inicio del archivo). El módulo de cifrado también incluye una opción "Auto" que permite seleccionar el modo de cifrado en función de la extensión de cada archivo, lo que permite a BlackCat obtener el rescate más eficaz en función de su contenido.

Protegerse contra BlackCat requiere un sólido programa de ciberseguridad empresarial, que incluya una seguridad de endpoints que detecte y bloquee las nuevas técnicas. Las siguientes son tácticas defensivas para mitigar un ataque BlackCat:

• Asegúrese de que las aplicaciones de Office están configuradas con Desactivar todas las macros sin notificación o Desactivar todas las macros excepto las firmadas digitalmente .
• Exija contraseñas seguras y autenticación multifactor (MFA) para todos los servicios de acceso remoto y asegúrese de que se cambian todas las contraseñas predeterminadas.
• Considere la posibilidad de impartir formación de concienciación a los usuarios para educar al personal sobre las técnicas de phishing y desarrolle procedimientos operativos estándar (SOP) para el tratamiento de correos electrónicos y documentos sospechosos.
• Configurar los clientes de correo electrónico para que notifiquen a los usuarios cuando los mensajes procedan de fuera de la organización.
• Garantizar que las actualizaciones y los parches de seguridad se aplican en todo el entorno informático, incluidos los productos de seguridad, los sistemas operativos y las aplicaciones.
• Supervise la actividad de la red en busca de intentos de fuerza bruta y limite la tasa de intentos de autenticación para los servicios críticos.
• Implantar una seguridad de red sólida que incluya los privilegios mínimos, la segmentación de los servicios críticos, los controles de acceso basados en funciones, la autenticación multifactor y la defensa en profundidad para reducir el daño potencial de las credenciales robadas. 
• Configure el Registro de Windows para requerir que la Cuenta de Usuario (UAC) limite el acceso a PsExec para prevenir su uso para movimientos laterales.
• Desarrollar y mantener una sólida estrategia de copias de seguridad para garantizar la resistencia frente a los ataques de ransomware.
• Configurar los servidores web y las API con módulos de seguridad para optimizar su rendimiento durante un pico de tráfico y ataques DDoS o adquirir servicios de mitigación de DDoS a un proveedor de servicios de Internet (ISP), una red de distribución de contenidos (CDN) o proveedores de cortafuegos de aplicaciones web (WAF).