El grupo de ransomware BlackCat, también conocido como ALPHV, afirma haber violado los sistemas de Namco Bandai, el editor de videojuegos japonés detrás de títulos AAA como Elden Ring y Dark Souls.
La noticia también fue informada por primera vez por Vx-underground y luego por dos grupos de vigilancia de malware (se abre en una nueva pestaña). BlackCat es una de las cepas de ransomware más populares del mundo, e incluso atrajo la atención del Federal Breau of Investigation (FBI).
Sin embargo, Namco Bandai actualmente se mantiene en silencio al respecto, lo que dificulta confirmar la autenticidad de estas afirmaciones.
En la mira del FBI
En abril de 2022, el FBI emitió una advertencia de que la cepa del "nuevo ransomware virulento" de BlackCat había infectado al menos a 60 organizaciones diferentes en dos meses. En ese momento, el FBI describió a BlackCat como "ransomware como servicio" y afirmó que su malware estaba escrito en Rust.
Si bien la mayoría de las variedades de ransomware están escritas en C o C++, el FBI dice que Rust es un "lenguaje de programación más seguro que ofrece un rendimiento mejorado y un procesamiento simultáneo confiable".
BlackCat normalmente exige el pago en Bitcoin y Monero a cambio de la clave de descifrado, y aunque las solicitudes suelen ser "de millones", a menudo ha aceptado pagos inferiores a la solicitud original, según el FBI.
Aparentemente, el grupo tiene fuertes lazos con Darkside y tiene "amplias redes y experiencia" en la explotación de ataques de malware y ransomware (se abre en una nueva pestaña).
Después de obtener el acceso inicial a los puntos finales de destino, el grupo procederá a comprometer las cuentas de usuario y administrador de Active Directory y utilizará el Programador de tareas de Windows para configurar objetos de política de grupo (GPO) maliciosos para implementar el ransomware.
La implementación inicial utiliza secuencias de comandos de PowerShell, junto con Cobalt Strike, y desactiva las funciones de seguridad dentro de la red de la víctima.
Después de descargar y bloquear la mayor cantidad de datos posible, el grupo buscará implementar ransomware en hosts adicionales.
El FBI recomienda examinar los controladores de dominio, los servidores, las estaciones de trabajo y los directorios activos en busca de cuentas de usuario nuevas o no reconocidas; realizar copias de seguridad periódicas de los datos, examinar el programador de tareas en busca de tareas programadas no reconocidas y solicitar credenciales de administrador para cualquier proceso de instalación de software, como medidas de mitigación.
BlackCat también se unió recientemente a la red descentralizada de actores maliciosos de Conti y violó con éxito los servidores de Microsoft Exchange, varias veces, para implementar ransomware.
Vía: PCGamer (se abre en una nueva pestaña)