Ha llegado la primera plataforma de seguridad basada en computacion

Una nueva cepa virulenta de ransomware ha infectado al menos a 60 organizaciones diferentes en los últimos dos meses, advirtió el FBI.

En un informe Flash, publicado a fines de la semana pasada, la agencia de inteligencia dijo que BlackCat, un conocido actor de ransomware como servicio, comprometió a estas organizaciones utilizando una cepa escrita en RUST.

Esto es algo inusual dado que la mayoría de ransomware está escrito en C o C++. Sin embargo, el FBI cree que estos actores de amenazas en particular optaron por RUST porque se considera un «lenguaje de programación más seguro que ofrece un rendimiento mejorado y un procesamiento simultáneo confiable».

Mitigación y Defensas

BlackCat, también conocido como ALHPV, generalmente exige el pago en Bitcoin y Monero a cambio de la clave de descifrado, y aunque las solicitudes suelen ser «de millones», a menudo acepta pagos inferiores a la solicitud original, según el FBI.

BlackCat también tiene vínculos estrechos con Darkside (también conocido como Blackmatter), explica además el FBI, lo que sugiere que el grupo tiene «amplias redes y experiencia» en la explotación de ataques de malware y ransomware.

El ataque generalmente comienza con una cuenta ya comprometida, lo que brinda a los atacantes acceso inicial al punto final de destino. Luego, el grupo compromete las cuentas de usuario y administrador de Active Directory y usa el Programador de tareas de Windows para configurar objetos de directiva de grupo (GPO) maliciosos para implementar el ransomware.

La implementación inicial utiliza secuencias de comandos de PowerShell, junto con Cobalt Strike, y desactiva las funciones de seguridad dentro de la red de la víctima.

Luego se dice que los atacantes descargan la mayor cantidad de datos posible antes de bloquear los sistemas. E incluso buscan obtener datos de todos los proveedores de alojamiento en la nube que puedan encontrar.

Finalmente, utilizando scripts de Windows, el grupo busca implementar ransomware en hosts adicionales.

El FBI también ha creado una lista completa de mitigaciones recomendadas, que incluyen examinar controladores de dominio, servidores, estaciones de trabajo y directorios activos en busca de cuentas de usuario nuevas o no reconocidas; realizar copias de seguridad periódicas de los datos, examinar el programador de tareas en busca de tareas programadas no reconocidas y solicitar credenciales de administrador para cualquier proceso de instalación de software.

Share This