Pasar al contenido principal

Informe malware BlackCat

BlackCat, también conocido como ALPHV, es una nueva versión del antiguo ransomware BlackMatter, en el que se ha reescrito todo su código en Rust, un lenguaje de programación más seguro, más sencillo de desarrollar, concurrente, multiplataforma y multiparadigma. Al igual que la gran mayoría del ransomware de la actualidad, el grupo detrás de BlackCat ofrece su herramienta como un servicio (RaaS). Varias empresas de seguridad han notificado que los dominios utilizados durante los ataques de BlackMatter se han visto reutilizados durante los ataques de BlackCat relacionando de forma directa a ambas familias. Durante el análisis de esta nueva familia se ha podido acceder a la plataforma donde los atacantes publican la información extraída durante el ataque. En ella, se pueden observar las diferentes empresas que se han visto afectadas debido a que no utilizan un dominio distinto por cada uno de los ataques. Las principales características de esta familia son: eliminación de las copias de seguridad locales, eliminación de los snapshots en sistemas ESXi, eliminación de los eventos del sistema, configuración en formato JSON cifrada con parte del parámetro "--access-token", propagación por la red, haciendo uso de PsExec y credenciales de administrador y uso combinado de los algoritmos Salsa20 y RSA, para la realización del cifrado de los ficheros.

Infografía