El FBI, principal agencia de investigación de EE. UU., ha activado una alerta que concluye que más de 60 organizaciones en todo el mundo han sido víctimas del sofisticado ataque de ransomware de Blackcat, también conocido como ALPHV/Noberus. El ransomware salió a la luz por primera vez cuando la investigación reveló que era el primer ransomware que utilizaba el lenguaje de programación seguro para la memoria RUST, conocido por su rendimiento mejorado.
Muchos de los desarrolladores de Blackcat están vinculados con los grupos de ransomware más populares, Darkside y Blackmatter, que son grandes grupos con la experiencia para llevar a cabo operaciones con una red bien establecida para respaldar la logística. La ventaja de usar el lenguaje de programación RUST genera una tasa de detección muy baja entre los proveedores de antivirus, ya que la mayoría de las herramientas de análisis estático no están bien adaptadas al nuevo lenguaje de programación.
Al igual que otros grupos RaaS, el motivo detrás del desarrollo del ransomware Blackcat/ALPHV implica el robo de datos, antes de ejecutar cualquier actividad de rescate, aprovechando las credenciales del usuario para obtener acceso al sistema de destino. El análisis inicial de Vedere Labs revela dos explotaciones distintas
Penetración del firewall SonicWALL expuesto a Internet
Movimiento lateral para cifrar granja virtual VMware ESXI
Blackcat/ALPHV, junto con Conti y LockBit, están actualmente designados por el FBI como los grupos de ransomware más peligrosos y activos. Es importante estar atento a cualquier indicador de su existencia. Algunos de los COI se enumeran a continuación:
Mitigaciones recomendadas
Si bien es esencial que una organización busque IOC para verificar si ya han sido atacados por ransomware, también es necesario, como mínimo, seguir los pasos a continuación para proteger su organización de ataques tan sofisticados.
Siga la estrategia de aplicación de parches recomendada de una organización, que implica revisar el código y emitir los últimos parches de seguridad para todos los dispositivos de infraestructura de red.
Verifique si hay imágenes conocidas de IOC dentro de la red.
Supervise las redes para cualquier acceso por una dirección IP desconocida
Contar con un equipo dedicado a revisar las políticas de seguridad e implementarlas.
Considere la segmentación de la red, si es posible, para minimizar el movimiento lateral de los vectores de ataque.
Realice copias de seguridad periódicas de todos los dispositivos de infraestructura crítica.
Más de 60 organizaciones han sido víctimas del sofisticado ataque Blackcat
El FBI, principal agencia de investigación de EE. UU., ha activado una alerta que concluye que más de 60 organizaciones en todo el mundo han sido víctimas del sofisticado ataque de ransomware de Blackcat, también conocido como ALPHV/Noberus. El ransomware salió a la luz por primera vez cuando la investigación reveló que era el primer ransomware que utilizaba el lenguaje de programación seguro para la memoria RUST, conocido por su rendimiento mejorado.
Muchos de los desarrolladores de Blackcat están vinculados con los grupos de ransomware más populares, Darkside y Blackmatter, que son grandes grupos con la experiencia para llevar a cabo operaciones con una red bien establecida para respaldar la logística. La ventaja de usar el lenguaje de programación RUST genera una tasa de detección muy baja entre los proveedores de antivirus, ya que la mayoría de las herramientas de análisis estático no están bien adaptadas al nuevo lenguaje de programación.
Al igual que otros grupos RaaS, el motivo detrás del desarrollo del ransomware Blackcat/ALPHV implica el robo de datos, antes de ejecutar cualquier actividad de rescate, aprovechando las credenciales del usuario para obtener acceso al sistema de destino. El análisis inicial de Vedere Labs revela dos explotaciones distintas
Blackcat/ALPHV, junto con Conti y LockBit, están actualmente designados por el FBI como los grupos de ransomware más peligrosos y activos. Es importante estar atento a cualquier indicador de su existencia. Algunos de los COI se enumeran a continuación:
Mitigaciones recomendadas
Si bien es esencial que una organización busque IOC para verificar si ya han sido atacados por ransomware, también es necesario, como mínimo, seguir los pasos a continuación para proteger su organización de ataques tan sofisticados.
Categorías
Buscar