Geekflare
Geekflare recibe el apoyo de nuestra audiencia. Podemos ganar comisiones de afiliación de los enlaces de compra en este sitio.
En Seguridad  |  Última actualización: 25 de septiembre de 2023
Compartir en:
Freshdesk - El software de atención al cliente fácil de usar que le ayuda a ofrecer experiencias de cliente encantadoras.

¿Qué es el ransomware Blackcat y cómo defenderse de él?

Por
What-is-Blackcat-Ransomware-and-How-to-Defend-Against-it

Un ciberataque es un intento deliberado y malicioso de acceder sin autorización a un sistema informático o a una red a través de las vulnerabilidades existentes. Esto puede hacerse para robar información sensible e interrumpir las operaciones normales.

En los últimos tiempos, el ransomware se ha convertido en la herramienta de ciberataque preferida por los ciberdelincuentes. El ransomware suele propagarse a través de correos electrónicos de phishing, descargas drive-by, software pirata y protocolo de escritorio remoto, entre otros.

Una vez que un ordenador ha sido infectado por el ransomware, éste cifra los archivos críticos del ordenador. A continuación, los piratas informáticos exigen un rescate para restaurar los datos cifrados.

Los ciberataques pueden comprometer la seguridad nacional de un país, paralizar las operaciones en sectores clave de una economía y causar inmensos daños y graves pérdidas financieras. Esto es exactamente lo que ocurrió con el ciberataque del ransomware WannaCry.

hacker

El 12 de mayo de 2017, el ransomware llamado WannaCry, que se cree que se originó en Corea del Norte, se propagó por todo el mundo e infectó más de 200.000 sistemas informáticos en más de 150 países en menos de dos días. WannaCry tenía como objetivo los sistemas informáticos que ejecutaban el sistema operativo Windows. Aprovechó una vulnerabilidad en el protocolo de bloqueo de mensajes de servidor del sistema operativo.

Una de las mayores víctimas del ataque fue el Servicio Nacional de Salud del Reino Unido (NHS). Más de 70.000 de sus dispositivos, incluidos ordenadores, quirófanos, equipos de diagnóstico y escáneres de resonancia magnética, fueron infectados. Los médicos no podían acceder a sus sistemas ni a los historiales necesarios para atender a los pacientes. Este ataque costó al NHS cerca de 100 millones de dólares.

Así de mal pueden ponerse las cosas. Sin embargo, las cosas pueden ponerse mucho peor, especialmente con nuevos y más peligrosos ransomware como BlackCat, que está dejando tras de sí un camino lleno de víctimas.

El ransomware BlackCat

BlackCat-Ransomware

El ransomware BlackCat, denominado ALPHV por sus desarrolladores, es un software malicioso que, al infectar un sistema, exfiltra y cifra los datos del sistema afectado. La exfiltración consiste en copiar y transferir los datos almacenados en un sistema. Una vez que BlackCat ha exfiltrado y cifrado los datos críticos, se realiza una petición de rescate pagadera en criptodivisas. Las víctimas de BlackCat deben pagar el rescate exigido para recuperar el acceso a sus datos.

BlackCat no es un ransomware corriente. BlackCat fue el primer ransomware de éxito escrito en Rust, a diferencia de otros ransomware que suelen estar escritos en C, C , C#, Java o Python. Además, BlackCat fue también la primera familia de ransomware en tener un sitio web en la web transparente donde filtran la información robada de sus ataques.

Otra diferencia clave con respecto a otros ransomware es que BlackCat opera como ransomware como servicio (RaaS). Raas es un modelo de negocio del cibercrimen en el que los creadores de ransomware alquilan o venden su ransomware como un servicio a otros individuos o grupos.

En este modelo, los creadores de ransomware proporcionan todas las herramientas y la infraestructura necesarias para que otros distribuyan y ejecuten los ataques de ransomware. Esto es a cambio de una parte de sus beneficios obtenidos de los pagos del ransomware.

Esto explica por qué BlackCat se ha dirigido sobre todo a organizaciones y empresas, ya que suelen estar más dispuestas a pagar el rescate que los particulares. Las organizaciones y las empresas también pagan un rescate mayor en comparación con los individuos. Los seres humanos que guían y toman decisiones en los ciberataques se conocen como actores de ciberamenazas (CTA).

Para obligar a las víctimas a pagar el rescate, BlackCat utiliza la “técnica de la triple extorsión”. Consiste en copiar y transferir los datos de las víctimas y cifrar los datos de sus sistemas. A continuación, se pide a las víctimas que paguen el rescate para acceder a sus datos cifrados. Si no lo hacen, sus datos se filtran al público y/o se lanzan ataques de denegación de servicio (DOS) contra sus sistemas.

Por último, se contacta con las personas que se verán afectadas por la fuga de datos y se les informa de que sus datos van a ser filtrados. Suelen ser clientes, empleados y otras filiales de la empresa. Esto se hace para presionar a las organizaciones víctimas para que paguen el rescate y así evitar la pérdida de reputación y las demandas judiciales derivadas de la fuga de datos.

Cómo funciona el ransomware BlackCat

How-BlackCat-ransomware-works

Según una alerta rápida publicada por el FBI, el ransomware BlackCat utiliza credenciales de usuario previamente comprometidas para obtener acceso a los sistemas.

Una vez conseguido entrar en el sistema, BlackCat utiliza el acceso que tiene para comprometer las cuentas de usuario y administrador almacenadas en el directorio activo. Esto le permite utilizar el Programador de tareas de Windows para configurar Objetos de directiva de grupo (GPO) maliciosos que permiten a BlackCat desplegar su ransomware para cifrar archivos en un sistema.

Durante un ataque BlackCat, se utilizan scripts PowerShell junto con Cobalt Strike para desactivar las funciones de seguridad en la red de una víctima. A continuación, BlackCat roba los datos de las víctimas de donde estén almacenados, incluso de proveedores en la nube. Una vez hecho esto, el actor de la ciberamenaza que dirige el ataque despliega el ransomware BlackCat para cifrar los datos en el sistema de la víctima.

Las víctimas reciben entonces una nota de rescate en la que se les informa de que sus sistemas han sufrido un ataque y se han cifrado archivos importantes. En ella también se dan instrucciones sobre cómo pagar el rescate.

¿Por qué BlackCat es más peligroso que el ransomware medio?

encryptedBlackCat

BlackCat es peligroso en comparación con el ransomware medio por varias razones:

Está escrito en Rust

Rust es un lenguaje de programación rápido, seguro y que ofrece un mejor rendimiento y una gestión eficaz de la memoria. Al utilizar Rust, BlackCat se beneficia de todas estas ventajas, lo que lo convierte en un ransomware muy complejo y eficaz con un cifrado rápido. También hace que BlackCat sea difícil de someter a ingeniería inversa. Rust es un lenguaje multiplataforma que permite a los actores de amenazas personalizar fácilmente BlackCat para que se dirija a diferentes sistemas operativos, como Windows y Linux, aumentando su abanico de víctimas potenciales.

Utiliza un modelo de negocio RaaS

El uso de BlackCat de un modelo de ransomware como servicio permite a muchos actores de amenazas desplegar ransomware complejos sin tener que saber cómo crear uno. BlackCat hace todo el trabajo pesado para los actores de amenazas, que sólo tienen que desplegarlo en un sistema vulnerable. Esto facilita los ataques sofisticados de ransomware a los actores de amenazas interesados en explotar sistemas vulnerables.

Ofrece enormes ganancias a los afiliados

Como BlackCat emplea un modelo Raas, los creadores ganan dinero llevándose una parte del rescate pagado a los actores de amenazas que lo despliegan. A diferencia de otras familias Raas que se llevan hasta el 30% del pago del rescate de un actor de amenazas, BlackCat permite a los actores de amenazas quedarse entre el 80% y el 90% del rescate que ganan. Esto aumenta el atractivo de BlackCat para los actores de amenazas permitiendo que BlackCat consiga más afiliados dispuestos a desplegarlo en ciberataques.

Tiene un sitio público de filtraciones en la web claro

A diferencia de otros ransomware que filtran la información robada en la dark web, BlackCat filtra la información robada en un sitio web accesible en la clear web. Al filtrar los datos robados en la clear web, más personas pueden acceder a ellos, lo que aumenta las repercusiones de un ciberataque y presiona más a las víctimas para que paguen el rescate.

El lenguaje de programación Rust ha hecho que BlackCat sea muy eficaz en su ataque. Al utilizar un modelo Raas y ofrecer un pago enorme, BlackCat atrae a más actores de amenazas que son más propensos a desplegarlo en los ataques.

Cadena de infección del ransomware BlackCat

infectionChain

BlackCat obtiene el acceso inicial a un sistema utilizando credenciales comprometidas o explotando vulnerabilidades de Microsoft Exchange Server. Tras obtener acceso a un sistema, los actores maliciosos derriban las defensas de seguridad del sistema y recopilan información sobre la red de la víctima y elevan sus privilegios.

A continuación, el ransomware BlackCat se desplaza lateralmente por la red, obteniendo acceso a tantos sistemas como sea posible. Esto resulta muy útil durante la petición del rescate. Cuantos más sistemas sean atacados, más probable será que la víctima pague el rescate.

A continuación, los actores maliciosos exfiltran los datos del sistema que se utilizarán en la extorsión. Una vez que los datos críticos han sido exfiltrados, se prepara el escenario para la entrega de la carga útil BlackCat.

Los actores maliciosos entregan BlackCat utilizando Rust. En primer lugar, BlackCat detiene servicios como las copias de seguridad, las aplicaciones antivirus, los servicios de Internet de Windows y las máquinas virtuales. Una vez hecho esto, BlackCat cifra los archivos del sistema y desfigura la imagen de fondo del sistema sustituyéndola por la nota de rescate.

Protéjase del ransomware BlackCat

secure

Aunque BlackCat está demostrando ser más peligroso que otros ransomware presenciados anteriormente, las organizaciones pueden protegerse del ransomware de varias maneras:

Cifre los datos críticos

Parte de la estrategia de extorsión de Blackhat consiste en amenazar con filtrar los datos de la víctima. Al cifrar los datos críticos, una organización añade una capa adicional de protección a sus datos, paralizando así las técnicas de extorsión utilizadas por los actores de la amenaza BlackHat. Incluso si se filtran, no estarán en un formato legible por humanos.

Actualice regularmente los sistemas

En una investigación llevada a cabo por Microsoft, se reveló que, en algunos casos, BlackCat explotó servidores Exchange sin parches para acceder a los sistemas de una organización. Las empresas de software publican periódicamente actualizaciones de software para solucionar las vulnerabilidades y los problemas de seguridad que puedan haberse descubierto en sus sistemas. Para estar seguro, instale los parches de software en cuanto estén disponibles.

Haga copias de seguridad de los datos en un lugar seguro

Las organizaciones deben dar prioridad a la realización periódica de copias de seguridad de los datos y almacenarlas en una ubicación independiente y segura fuera de línea. Esto es para asegurar que incluso en el caso de que los datos críticos sean encriptados, puedan ser restaurados a partir de las copias de seguridad existentes.

Implemente la autenticación multifactor

Además de utilizar contraseñas seguras en un sistema, implemente la autenticación multifactor, que requiere múltiples credenciales antes de conceder el acceso a un sistema. Esto puede hacerse configurando un sistema para que genere una contraseña de un solo uso enviada a un número de teléfono o correo electrónico vinculado, que es necesaria para acceder a un sistema.

Supervise la actividad en una red y los archivos de un sistema

Las organizaciones deben supervisar constantemente la actividad en sus redes para detectar y responder a las actividades sospechosas en sus redes lo más rápidamente posible. Las actividades en una red también deberían registrarse y ser revisadas por expertos en seguridad para identificar posibles amenazas. Por último, deben establecerse sistemas para rastrear cómo se accede a los archivos de un sistema, quién accede a ellos y cómo se utilizan.

Cifrando los datos críticos, asegurándose de que los sistemas están actualizados, realizando regularmente copias de seguridad de los datos, implantando la autenticación multifactor y supervisando la actividad en un sistema. Las organizaciones pueden ir un paso por delante y evitar los ataques de BlackCat.

Recursos de aprendizaje: Ransomware

Para saber más sobre los ciberataques y cómo protegerse contra los ataques de ransomware como BlackCat, le recomendamos que siga alguno de estos cursos o lea los libros que se sugieren a continuación:

#1. Formación sobre concienciación en seguridad

Security-Awareness-Training

Este es un curso increíble para todos los interesados en estar seguros en Internet. El curso lo imparte el Dr. Michael Biocchi, Profesional Certificado en Seguridad de Sistemas de Información (CISSP).

El curso abarca el phishing, la ingeniería social, la fuga de datos, las contraseñas, la navegación segura y los dispositivos personales, y ofrece consejos generales sobre cómo estar seguro en Internet. El curso se actualiza con regularidad, y todos los que utilizan Internet pueden beneficiarse de él.

#2. Formación de concienciación sobre seguridad, seguridad en Internet para empleados

Security-Awareness-Training-Internet-Security-for-Employees

Este curso está adaptado a los usuarios cotidianos de Internet y tiene como objetivo educarles sobre las amenazas a la seguridad de las que la gente no suele ser consciente y sobre cómo protegerse contra ellas.

El curso impartido por Roy Davis, experto en seguridad de la información certificado por la CISSP, abarca la responsabilidad de los usuarios y los dispositivos, el phishing y otros correos electrónicos maliciosos, la ingeniería social, el manejo de datos, las contraseñas y las preguntas de seguridad, la navegación segura, los dispositivos móviles y el ransomware. Completando el curso obtendrá un certificado de finalización, que es suficiente para cumplir con las políticas de regulación de datos en la mayoría de los lugares de trabajo.

#3. Ciberseguridad: Formación de concienciación para principiantes absolutos

Cyber-Security

Este es un curso Udemy ofrecido por Usman Ashraf de Logix Academy, una startup de formación y certificaciones. Usman está certificado CISSP y tiene un doctorado en redes informáticas y mucha experiencia en la industria y la enseñanza.

Este curso ofrece a los alumnos una inmersión profunda en la ingeniería social, las contraseñas, la eliminación segura de datos, las redes privadas virtuales (VPN), el malware, el ransomware y consejos para una navegación segura y explica cómo se utilizan las cookies para rastrear a las personas. El curso no es técnico.

#4. El ransomware al descubierto

Se trata de un libro de Nihad A. Hassan, consultor independiente de seguridad informática y experto en ciberseguridad y análisis forense digital. El libro enseña cómo mitigar y manejar los ataques de ransomware y ofrece a los lectores una visión en profundidad de los diferentes tipos de ransomware que existen, sus estrategias de distribución y métodos de recuperación.

Vista previa Producto Valoración Precio
Ransomware Revealed: A Beginner’s Guide to Protecting and Recovering from Ransomware Attacks Ransomware Revealed: A Beginner’s Guide to Protecting and Recovering from Ransomware Attacks $19.77 Buy on Amazon

El libro también cubre los pasos a seguir en caso de infección por ransomware. Esto abarca cómo pagar los rescates, cómo realizar copias de seguridad y restaurar los archivos afectados, y cómo buscar en Internet herramientas de descifrado para desencriptar los archivos infectados. También cubre cómo las organizaciones pueden desarrollar un plan de respuesta a incidentes de ransomware para minimizar los daños del ransomware y recuperar las operaciones normales rápidamente.

#5. Ransomware: Entender. Prevenir. Recupere

En este libro, Allan Liska, arquitecto de seguridad senior y especialista en ransomware de Recorded Future, responde a todas las preguntas difíciles relacionadas con el ransomware.

No products found.

El libro ofrece un contexto histórico de por qué el ransomware se ha extendido en los últimos años, cómo detener los ataques de ransomware, las vulnerabilidades a las que se dirigen los actores maliciosos mediante el ransomware y una guía para sobrevivir a un ataque de ransomware con daños mínimos. Además, el libro responde a la importantísima pregunta: ¿debe pagar el rescate? Este libro ofrece una apasionante exploración del ransomware.

#6. Libro de jugadas de protección contra el ransomware

Para cualquier individuo u organización que busque armarse contra el ransomware, este libro es una lectura obligada. En este libro, Roger A. Grimes, experto en seguridad informática y penetración, ofrece su vasta experiencia y conocimientos en el campo para ayudar a las personas y organizaciones a protegerse del ransomware.

Vista previa Producto Valoración Precio
Ransomware Protection Playbook Ransomware Protection Playbook $17.00 Buy on Amazon

El libro ofrece un plan de acción para las organizaciones que buscan formular defensas sólidas contra el ransomware. También enseña cómo detectar un ataque, limitar los daños rápidamente y determinar si se debe pagar el rescate o no. También ofrece un plan de juego para ayudar a las organizaciones a limitar los daños reputacionales y financieros causados por violaciones graves de la seguridad.

Por último, enseña cómo llegar a una base segura para el seguro de ciberseguridad y la protección legal para mitigar la interrupción de los negocios y la vida cotidiana.

Nota del autor

BlackCat es un ransomware revolucionario que está llamado a cambiar el statu quo en lo que a ciberseguridad se refiere. En marzo de 2022, BlackCat había atacado con éxito a más de 60 organizaciones y había conseguido llamar la atención del FBI. BlackCat es una amenaza seria y ninguna organización puede permitirse ignorarla.

Al emplear un lenguaje de programación moderno y métodos poco convencionales de ataque, encriptación y extorsión de rescates, BlackCat ha dejado a los expertos en seguridad jugando a ponerse al día. Sin embargo, la guerra contra este ransomware no está perdida.

Aplicando las estrategias destacadas en este artículo y minimizando la oportunidad de que un error humano exponga los sistemas informáticos, las organizaciones pueden ir un paso por delante y evitar el catastrófico ataque del ransomware BlackCat.

  • Collins Kariuki
    Autor
    Collins Kariuki es desarrollador de software y escritor técnico para Geekflare. Tiene más de cuatro años de experiencia en el desarrollo de software, una formación en Informática y también ha escrito para Argot, Daily Nation y el periódico Business Daily.
Gracias a nuestros patrocinadores
Más lecturas sobre seguridad
Potencia tu negocio
Algunas de las herramientas y servicios que le ayudarán a hacer crecer su negocio.
  • Murf AI
    La herramienta de texto a voz que utiliza la IA para generar voces realistas similares a las humanas.
    Pruebe Murf AI
  • Brightdata
    Web scraping, proxy residencial, gestor de proxy, desbloqueador web, rastreador de motores de búsqueda, y todo lo que necesita para recopilar datos web.
    Pruebe Brightdata
  • Monday.com
    Monday.com es un sistema operativo de trabajo todo en uno que te ayuda a gestionar proyectos, tareas, trabajo, ventas, CRM, operaciones, flujos de trabajo y mucho más.
    Prueba Monday
  • Intruder
    Intruder es un escáner de vulnerabilidades en línea que encuentra puntos débiles de ciberseguridad en su infraestructura, para evitar costosas violaciones de datos.
    Prueba Intruder