BlackCat, un grupo de ransomware que ataca a entornos corporativos

En su informe "A bad luck BlackCat", los investigadores de Kaspersky revelan detalles del grupo de ransomware BlackCat. La complejidad del malware que utiliza, combinada con la vasta experiencia de los actores detrás de él, hacen de BlackCat uno de los principales actores en el mercado actual de ransomware. Las herramientas y técnicas que el grupo despliega durante sus ataques confirman la conexión entre BlackCat y otros grupos de ransomware, como BlackMatter y REvil.

BlackCat es un actor de amenazas que ha estado operando desde al menos diciembre de 2021, y que afirma ser sucesor de notorios grupos de ransomware como BlackMatter y REvil. A diferencia de otros actores de ransomware, el malware de BlackCat está escrito en el lenguaje de programación Rust. Gracias a las capacidades avanzadas de compilación cruzada de Rust, BlackCat puede apuntar a sistemas Windows y Linux. La telemetría sugiere que al menos algunos miembros del grupo tienen vínculos directos con BlackMatter, ya que utilizan herramientas y técnicas que habían sido ampliamente utilizadas por dicho grupo.

El informe analiza dos ciberincidentes de particular interés. El primer caso se centra en un ataque contra un proveedor de ERP vulnerable de Oriente Medio que aloja múltiples sitios. Los atacantes entregaron simultáneamente dos ejecutables diferentes al mismo servidor físico, apuntando a dos organizaciones diferentes virtualmente alojadas allí. Los investigadores de Kaspersky determinaron que el actor explota el riesgo de los activos compartidos en la nube. Además, en este caso, el grupo también entregó un archivo por lotes Mimikatz junto con ejecutables y utilidades de recuperación de contraseña de red Nirsoft.

El segundo caso involucra a una compañía de petróleo, gas, minería y construcción en América del Sur y revela la conexión entre BlackCat y la actividad de BlackMatter. El afiliado detrás de este ataque de ransomware no solo intentó entregar el ransomware BlackCat dentro de la red objetivo, sino que también precedió a su entrega del ransomware con la instalación de una utilidad de exfiltración personalizada modificada, que se había utilizado anteriormente exclusivamente como parte de la actividad de BlackMatter.

"Después de que los grupos REvil y BlackMatter cerraran sus operaciones, era solo cuestión de tiempo que otro grupo de ransomware ocupara su nicho. El conocimiento del desarrollo de malware, el uso de un lenguaje de programación inusual y la experiencia en el mantenimiento de la infraestructura están convirtiendo al grupo BlackCat en un jugador importante en el mercado de ransomware ", comenta Dmitry Galov, investigador de seguridad del Equipo Global de Investigación y Análisis de Kaspersky.