La agencia ha emitido una alerta advirtiendo que el nuevo ransomware ha afectado al menos a 60 organizaciones globales desde noviembre pasado. El FBI advierte que el ransomware basado en Rust ha vulnerado más de 60 organizaciones.
La Oficina Federal de Investigaciones (FBI) advirtió sobre el ransomware-as-a-service (RaaS) BlackCat. Se cree que ha comprometido al menos 60 entidades en todo el mundo desde noviembre pasado.
BlackCat ha estado reclutando nuevos afiliados desde finales de 2021 y apuntando a organizaciones en múltiples sectores en todo el mundo. Esto es lo que dice Varonis Threat Labs. Ha reclutado activamente a ex operadores de REvil, BlackMatter y DarkSide y ha aumentado su actividad desde noviembre de 2021. Varonis descubrió que ofrece lucrativos pagos de afiliados, hasta el 90 %, y utiliza un ejecutable de ransomware basado en Rust. El sitio del grupo también nombró a más de 20 organizaciones de víctimas desde enero de 2022. Sin embargo, la firma de seguridad de datos predijo que el número total de víctimas probablemente sería mayor.
El FBI advierte que el ransomware basado en Rust ha vulnerado más de 60 organizaciones
El FBI emitió una alerta a principios de este mes en la que descubrió que BlackCat, también conocido como ALPHV o Noberus, ha comprometido al menos 60 entidades en todo el mundo a través del RaaS a partir de marzo de 2022. Dijo que es el primer grupo de ransomware en hacerlo con éxito utilizando Rust. Esto es un lenguaje de programación que ofrece alto rendimiento y características de seguridad mejoradas.
El aviso indicaba que el ransomware aprovecha las credenciales de usuario previamente comprometidas para obtener acceso inicial al sistema de la víctima. Una vez que el malware establece el acceso, compromete las cuentas de usuario y administrador de Active Directory. El malware utiliza el Programador de tareas de Windows para configurar objetos de directiva de grupo (GPO) maliciosos para implementar ransomware.
La implementación inicial del malware aprovecha los scripts de PowerShell, junto con Cobalt Strike, y desactiva las funciones de seguridad dentro de la red de la víctima. El ransomware también usa herramientas administrativas de Windows y herramientas de Microsoft Sysinternals durante el compromiso. BlackCat/ALPHV roba los datos de las víctimas antes de la ejecución del ransomware, incluso de los proveedores de la nube donde se almacenaron los datos de la empresa o del cliente.
La agencia no recomienda pagar rescates, aunque entiende que algunas organizaciones pueden hacerlo para proteger a los accionistas, empleados y clientes. Incluso si una organización paga el rescate, el FBI ha instado a las víctimas a informar los incidentes de ransomware a su oficina local del FBI. También sugirió que las organizaciones revisen sus controladores de dominio, realicen copias de seguridad de los datos fuera de línea con regularidad e implementen la segmentación de la red.