Sophos X-Ops presenta los últimos resultados de inteligencia de amenazas. La banda de ransomware BlackCat utiliza la herramienta de pentesting Brute Ratel como una nueva herramienta de ataque. La serie Attack muestra cómo los ciberdelincuentes infectan computadoras en todo el mundo a través de firewalls sin parches y servicios VPN.
Sophos X-Ops revela en el nuevo informe BlackCat Ransomware Attacks Not Merely a Byproduct of Bad Luck que la banda de ransomware ha agregado la herramienta de pentesting Brute Ratel a su arsenal de herramientas de ataque. El artículo describe una serie de ataques de ransomware en los que BlackCat usó firewalls y servicios VPN sin parches u obsoletos para penetrar redes y sistemas vulnerables en varias industrias en todo el mundo.
BlackCat con ransomware como servicio
El ransomware BlackCat surgió por primera vez en noviembre de 2021 como un "líder" autoproclamado en el espacio del ransomware como servicio y rápidamente atrajo la atención por su inusual lenguaje de programación Rust. Ya en diciembre de 2021, las empresas afectadas se pusieron en contacto con Sophos Rapid Response para investigar al menos cinco ataques con BlackCat. Cuatro de estos incidentes se infectaron inicialmente mediante la explotación de vulnerabilidades en productos de varios proveedores de firewall. Una de estas vulnerabilidades data de 2018, otra fue descubierta el año pasado. Una vez dentro de la red, los ciberdelincuentes pudieron obtener las credenciales de VPN almacenadas en estos firewalls. Esto les permitió iniciar sesión como usuarios autorizados y luego escabullirse a través de los sistemas utilizando el Protocolo de escritorio remoto (RDP).
Al igual que en incidentes anteriores de BlackCat, los atacantes también utilizaron herramientas de código abierto y disponibles comercialmente para crear puertas traseras adicionales y formas alternativas de acceder de forma remota a los sistemas objetivo. Estos incluyeron TeamViewer, nGrok, Cobalt Strike y Brute Ratel.
Marco C2 posterior a la explotación Brute Ratel
“En los ataques recientes de BlackCat y otros, hemos visto a los actores de amenazas trabajar de manera muy eficiente y efectiva. Utilizan las mejores prácticas, como ataques a firewalls y VPN vulnerables. Pero también fueron muy innovadores a la hora de evadir las medidas de seguridad y cambiaron sus ataques al nuevo marco C2 posterior a la explotación, Brute Ratel”, explica Christopher Budd, director sénior de investigación de amenazas en Sophos.
Ataques sin un patrón claro
Sin embargo, no se pudo observar un patrón claro en los ataques. Tuvieron lugar en los EE. UU., Europa y Asia en grandes empresas que operan en varios segmentos de la industria. Sin embargo, las empresas atacadas tenían ciertas vulnerabilidades en su entorno que facilitaban el trabajo de los atacantes. Estos incluían sistemas obsoletos que ya no podían actualizarse con los últimos parches de seguridad, falta de autenticación multifactor para VPN y redes planas (red de nodos pares)
"El denominador común de todos estos ataques es que fueron fáciles de ejecutar", dijo Budd. “En un caso, los mismos atacantes de BlackCat instalaron criptomineros un mes antes de que se lanzara el ransomware. Nuestra investigación reciente destaca la importancia de seguir las mejores prácticas de seguridad. Todavía puede prevenir y frustrar ataques, incluso múltiples ataques en una sola red”.
Más en Sophos.com
Acerca de Sophos Sophos cuenta con la confianza de más de 100 millones de usuarios en 150 países. Ofrecemos la mejor protección contra amenazas informáticas complejas y pérdida de datos. Nuestras soluciones integrales de seguridad son fáciles de implementar, usar y administrar. Ofrecen el costo total de propiedad más bajo de la industria. Sophos ofrece soluciones de cifrado galardonadas, soluciones de seguridad para terminales, redes, dispositivos móviles, correo electrónico y web. También cuenta con el soporte de SophosLabs, nuestra red global de centros de análisis patentados. Las oficinas centrales de Sophos se encuentran en Boston, EE. UU. y Oxford, Reino Unido.