Puestos

¿Qué es el ransomware BlackCat? El FBI ha emitido recientemente una advertencia sobre una nueva cepa de ransomware conocida como BlackCat Ransomware (también conocido como Noberus y AlphaV) que ha estado causando estragos en empresas y ordenadores personales de todo el mundo (operando principalmente en los Estados Unidos). A los agentes del FBI les preocupa que BlackCat pueda convertirse en un grave problema para las empresas si no se controla. Aunque la mayoría de las empresas cuentan con sistemas de seguridad sólidos para mantener alejados a los hackers, es posible que no estén preparadas para un ataque como éste.

Puede leer el artículo completo de Forbes, aquí.

El ransomware BlackCat: Una nueva banda de ransomware anda suelta  

BlackCat utiliza técnicas de cifrado similares a las de otros tipos de ransomware, pero también añade algunas medidas de seguridad adicionales para dificultar el descifrado de los archivos si están cifrados. Esto incluye el uso de dos algoritmos de cifrado diferentes y la garantía de que la clave de descifrado nunca se almacena en la misma unidad que los archivos cifrados.

Los creadores de BlackCat parecen dirigirse a las empresas y organizaciones más que a los individuos, lo que tiene sentido ya que este tipo de organizaciones tienden a estar más dispuestas a pagar el rescate que los individuos.

BlackCat es un grupo de ciberdelincuentes que ataca a las empresas para robar su propiedad intelectual e información personal. Es conocido por dirigirse a empresas de los sectores de la construcción y la ingeniería, el comercio minorista, el transporte, los servicios comerciales, los seguros y la maquinaria.

El grupo también ha atacado organizaciones en Europa y Filipinas. El mayor número de sus víctimas hasta ahora son de Estados Unidos, pero esto podría cambiar a medida que siga ampliando su alcance en todo el mundo.

D

Qué es el ransomware BlackCat: Un ransomware como servicio (RaaS)

BlackCat Ransomware es un modelo de negocio de ransomware como servicio (RaaS) que se basa en una estructura de marketing de afiliados. Operar como un modelo de negocio RaaS significa que BlackCat no aloja ni distribuye el malware por sí mismo, sino que confía en terceros para que lo hagan por ellos. Operar de esta manera permite a BlackCat evitar la responsabilidad legal y también le ayuda a evitar la detección por parte del software antivirus.

¿Qué es el ransomware como servicio? 

El ransomware como servicio (RaaS) es un tipo de ciberataque relativamente nuevo que permite a cualquiera comprar software malicioso y utilizarlo para mantener los archivos como rehenes, normalmente, hasta que se pague un rescate.

RaaS es extremadamente rentable para los hackers porque pueden alquilar su software de ransomware a otros delincuentes sin tener que preocuparse de ser atrapados por las fuerzas de seguridad, como lo harían si estuvieran ejecutando sus propios ataques.

RaaS opera a través del uso de programas de "afiliados", que son esencialmente programas que permiten a la gente ganar dinero mediante la difusión de malware. Los afiliados reciben un pago por cada víctima que infectan y por cada vez que el malware genera ingresos. Cuanto más éxito tenga un afiliado en la difusión de RaaS, más dinero podrá ganar.

¿Cómo funciona?

El ransomware suele enviarse por correo electrónico o a través de un sitio web que ha sido pirateado. El malware encripta todos los archivos del usuario y muestra una alerta indicando que el usuario ha violado las leyes federales, lo que provoca el bloqueo de su ordenador. A continuación, el atacante informa al usuario de que puede desbloquear su ordenador pagando una cuota de rescate -normalmente entre 200 y 600 dólares- mediante bitcoin u otra criptomoneda.

La razón por la que los delincuentes de RaaS son capaces de salirse con la suya con este tipo de estafa es que la mayoría de las víctimas no denuncian cuando se infectan con el ransomware; en su lugar, intentan solucionar el problema ellos mismos pagando el rescate y esperando lo mejor.

¿Necesita protección contra los ataques de ransomware? Lea más sobre DMARC y el ransomware aquí.

La anatomía del ransomware BlackCat

El ransomware se considera un método de infección sofisticado y tiene el potencial de inutilizar un host infectado. Puede causar grandes daños a una organización si no se detecta rápidamente. El ransomware BlackCat se ha descargado a través de archivos de Microsoft Office que contienen un ejecutable malicioso incrustado. La carga útil contiene un código que permite que el malware se extienda a través de la red comprometida, apuntando tanto a sistemas Windows como Linux.

El ransomware BlackCat se describe como un ataque "multietapa" con el objetivo de explotar las cuentas de usuario y de administrador de Active Directory (AD) para cifrar los archivos de los ordenadores objetivo. Además, el ransomware BlackCat/ALPHV aprovecha las credenciales de usuario previamente comprometidas para obtener el acceso inicial al sistema víctima.

¿Cómo prevenir el ransomware BlackCat?

Pasos manuales para prevenir los ataques del ransomware BlackCat:

  1. Actualice su software regularmente. El ransomware suele dirigirse a sistemas antiguos o que no se han actualizado en mucho tiempo, así que asegúrate de saber qué software se está ejecutando en tu ordenador, y asegúrate de que está actualizado.
  2. Haz copias de seguridad de todos tus archivos con regularidad y guárdalos en dos lugares distintos (por ejemplo, en dos discos duros externos diferentes). De este modo, si una unidad falla o se infecta con malware, seguirás teniendo copias de todos tus archivos en otra unidad o en la nube, a salvo de cualquier daño.
  3. Utilice contraseñas seguras que no se reutilicen en ningún otro sitio (especialmente no varias veces en diferentes cuentas), y nunca haga clic en enlaces enviados por correo electrónico, incluso si parece que provienen de alguien de confianza.
  4. No pagues el rescate. Pagar a los delincuentes es tirar el dinero. La única manera de que desbloqueen tus datos (según ellos) es que les pagues primero, pero están mintiendo. No caigas en la trampa.
  5. Prueba a utilizar la herramienta de recuperación de archivos integrada en Windows para restaurar tus archivos desde las Shadow Copies (un sistema de copias de seguridad). Puede que no funcione el 100% de las veces, pero merece la pena intentarlo. Puedes encontrar esta herramienta en "Restauración del Sistema" en tu Panel de Control (busca "Restauración del Sistema" si no lo ves de inmediato).

Herramientas que puede implementar para prevenir los ataques del ransomware BlackCat:

1. La buena noticia es que hay una tecnología emergente que puede ayudarle a proteger su negocio del ransomware BlackCat: DMARC.

A política DMARC permite a los remitentes de correo electrónico indicar a los servidores receptores si los mensajes de correo electrónico son legítimos o no. Esto significa que si un atacante intenta enviar un correo electrónico de phishing con código malicioso adjunto, el servidor del destinatario sabrá que no proviene del propietario legítimo del dominio y podrá rechazarlo antes de que se produzca ningún daño.

Obtenga su analizador DMARC hoy mismo.

2. La autenticación de múltiples factores (MFA) es una forma de mantener a los hackers fuera de tus cuentas, pero permitiéndote acceder a ellas libremente. Al utilizar dos o más datos para verificar tu identidad, es mucho más difícil que alguien que haya robado tu contraseña u otra información de identificación pueda entrar en tu cuenta sin ser detectado por MFA.

3. Los cortafuegos pueden proteger contra muchos ataques del ransomware BlackCat. Un cortafuegos es un software que funciona con tu sistema operativo para bloquear el acceso no autorizado a tu ordenador, lo que incluye el acceso de códigos maliciosos como el ransomware. La mayoría de los sistemas operativos incluyen cortafuegos, pero si no tienes uno o quieres una capa adicional de protección, hay muchas opciones gratuitas y muchas son fáciles de instalar.