El universo del ransomware se mueve muy rápido. Conformado por grupos de ciberdelincuentes que usan un modelo de negocio a base de encriptar archivos y extorsionar a sus víctimas, las distintas bandas apuntan todo su poder de fuego a crear programas maliciosos que son un verdadero dolor de cabeza para los administradores de sistemas. Pero, en más de una oportunidad, sus negocios se ven interrumpidos.
Esto fue lo que pasó con Black Cat, también conocido como ALPHV, uno de los grupos de ransomware más famosos del mundo, que a mediados de diciembre vio su sitio incautado por el FBI y otras fuerzas de seguridad internacionales. El Departamento de Justicia de Estados Unidos anunció la interrupción de la operación del grupo de ransomware y publicó una herramienta para desencriptar archivos –decrypter- para que más de 500 víctimas afectadas puedan recuperar el acceso a los archivos encriptados.
Los documentos judiciales muestran que el FBI contó con la ayuda de una “fuente humana confidencial” para actuar como afiliado del grupo Black Cat y obtener acceso a un panel web utilizado para gestionar las víctimas de la banda. A diferencia de lo que sucedió con otros grupos como Hive a principios de 2023, otro conocido cartel del ambiente, en este caso Black Cat respondió y el conflicto online fue escalando.
El ransomware es un programa malicioso que le debe su nombre al acrónimo de los términos ransom, que en inglés significa rescate, y ware es un acortamiento de la conocida palabra software. Durante los últimos años, esta mecánica que vuelve inaccesibles los archivos a sus víctimas se transformó en un problema muy grande en todas las industrias y sectores económicamente productivos, desde el ámbito privado hasta instituciones estatales.
Según datos de Check Point Research, una de cada diez organizaciones en todo el mundo sufrió intentos de ataques de ransomware en 2023, lo que implicaría un aumento del 33% con respecto al año anterior, cuando una de cada trece organizaciones recibió ataques de este tipo. Estos datos refieren a la telemetría propia de esta compañía y, si bien no pueden ser tomada de manera absoluta, funcionan como un termómetro.
A lo largo de 2023, organizaciones de todo el mundo sufrieron, cada una, más de 60.000 ataques de media. Los sectores minorista-mayorista experimentaron un notable aumento del 22% en ataques semanales, en comparación con 2022. Pero el rubro más atacado fue el de educación, que, por ejemplo, en Argentina tuvo el año pasado como víctima a la Universidad de Buenos Aires.
«Big Game Hunting»: operaciones de altos montos. Foto ShutterstockBlack Cat ocupaba, al menos hasta fines del año pasado, un lugar preponderante en el tablero de los grupos de cibercriminales que usan este tipo de programas maliciosos para atacar a sus víctimas, junto a LockBit, Play, Medusa, Black Basta y otras organizaciones de renombre en el ambiente de la ciberseguridad y la inteligencia.
“También llamado NOBERUS o ALPHV, es un grupo de ransomware de alto nivel (Big Game Hunting), activo desde 2021 y con golpes de alto perfil a nivel mundial. En Argentina encriptaron a Transportadora de Gas del Sur en abril de 2022 y a Algeiba IT”, recuerda a este medio Mauro Eldritch, director de Birmingham Cyber Arms y analista de amenazas.
El modelo de negocio que usan es conocido como «Ransomware as a service», RaaS, y consiste en disponibilizar el código malicioso a terceros, conocidos como afiliados o partners, para que desplieguen el ataque a cambio de un porcentaje del botín.
Mario Micucci, Investigador de Seguridad Informática de ESET Latinoamérica, habló con Clarín para explicar más sobre este grupo rusófono que, a pesar de que perdieron el control de su sitio en la dark web, no se descarta que puedan reconvertirse o aliarse con otra organización.
Qué juego juega Black Cat
El sitio de filtraciones de Black Cat, en la dark web, con una víctima. Foto Black Cat Ransomware─¿De dónde se cree que es Black Cat o qué indicios hay para ubicarlos en alguna zona del globo?
─Según autoridades de ciberseguridad de varios países se cree que el grupo de ransomware Black Cat, también conocido como ALPHV, es originario de Rusia. Esto se basa en una serie de indicios, entre los que se incluyen: que el idioma utilizado en el código del ransomware es ruso, además de que el grupo ha atacado a objetivos rusos, como el Ministerio de Educación y Ciencia de Rusia. También usan un código de cifrado similar al que se utilizó en el ransomware Conti, que también se cree que tiene su base en Rusia.
─Esto no significa, necesariamente, que estén en Rusia, ¿no?
─Por supuesto, también es posible que el grupo Black Cat no esté ubicado en Rusia. Sin embargo, los indicios mencionados anteriormente sugieren que es una posibilidad, aunque existe la posibilidad de que sea una organización descentralizada con miembros de todo el mundo.
─¿Qué víctimas grandes tuvo?
─El grupo de ransomware Black Cat ha atacado a una amplia gama de víctimas, desde pequeñas empresas hasta grandes corporaciones. Entre las víctimas más notables se encuentran:
La firma de ciberseguridad Mandiant: En enero de 2022, Black Cat atacó a Mandiant, una de las principales firmas de ciberseguridad del mundo [hoy, propiedad de Google]. El ataque se llevó a cabo utilizando una combinación de técnicas de phishing y malware.La empresa de tecnología estadounidense Kaseya: En julio de 2021, Black Cat atacó a Kaseya, una empresa de tecnología estadounidense que proporciona software de gestión de TI a pequeñas y medianas empresas. El ataque se llevó a cabo utilizando una vulnerabilidad en el software de Kaseya, lo que permitió a Black Cat infectar a más de 1.500 empresas.La empresa de logística estadounidense C.H. Robinson Worldwide: en agosto de 2022, Black Cat atacó a C.H. Robinson Worldwide, una empresa de logística estadounidense con sede en Atlanta. El ataque se llevó a cabo utilizando una combinación de técnicas de phishing y malware.─¿Qué técnicas de ataque usan?
─Black Cat utilizó una variedad de técnicas para atacar a sus víctimas, que van desde phishing -el grupo envía correos electrónicos de phishing a las víctimas, con enlaces o archivos adjuntos infectados- hasta la explotación de vulnerabilidades conocidas en software para infectar los sistemas de las víctimas. También hacen infiltración manual, mediante spear phishing (dirigido a individuos puntuales) o la ingeniería social. Una vez que Black Cat ha infectado los sistemas de las víctimas, cifra sus archivos y exige un rescate para desencriptarlos. El grupo exigir rescates en criptomonedas, como Bitcoin o Ethereum.
Sitio dado de baja y decrypter disponible: qué significa
Sitio de Black Cat Ransomware, incautado. Foto Captura Dark WebA mediados de diciembre de 2023, el sitio del grupo, donde suben la información robada y extorsionan con sus actualizaciones a las entidades afectadas, fue dado de baja. Estos dominios suelen estar alojados en la dark web, una parte de internet a la que se accede con un navegador distinto a Google Chrome, Safari o Firefox (red Tor).
Según el documento que publicó el FBI, las fuerzas del orden también obtuvieron 946 pares de llaves criptográficas para servicios ocultos de la red Tor, que incluían sitios de filtraciones (DLS, dedicated leak site), paneles de afiliados y plataformas de chat para víctimas con afiliados.
─¿Qué implica, de manera inmediata, que un sitio quede incautado?
─Cuando el FBI incauta los dominios de un grupo de ransomware, suele resultar una interrupción significativa de la actividad del grupo. Esto se debe a que los dominios incautados se utilizan para controlar la infraestructura del grupo, como sus sitios web, servidores de comunicación y bots de spam.
─¿Cómo impacta en el grupo de ransomware?
─Hay diversos escenarios. Puede ser que el grupo puede dejar de operar por completo, esto suele ocurrir cuando la organización no tiene otros medios para comunicarse con sus víctimas o para recibir pagos de rescate. Pero también puede pasar que el grupo se reorganice y comience a operar con nuevos dominios. Esto puede ser difícil para el FBI, ya que el grupo tendrá que encontrar nuevos dominios que no estén bajo su control. Otro escenario es que Black Cat cambie a otras formas de ataque. En última instancia, el impacto de la incautación de dominios por parte del FBI depende de una serie de factores, como la sofisticación del grupo, la disponibilidad de otros medios para el grupo y la respuesta de las víctimas.
─Hive a principios de 2023, también tuvo esta situación del dominio incautado. ¿Cómo fue ese caso?
─Sí, en el caso de Hive, la incautación de sus dominios llevó a una disminución notable de la actividad del grupo. Esto se debió a que el grupo no pudo acceder a sus sitios web, lo que hizo que fuera más difícil para ellos comunicarse con sus víctimas y solicitar rescates. El FBI puede que haya compartido el código fuente con las autoridades de varios países, incluidos Estados Unidos, Alemania y Reino Unido.
─Los ciberdelincuentes usan un código fuente hecho para encriptar los datos, conocido como encrypter. ¿Qué pasa con esto cuando incautan los sitios de ellos? ¿Queda obsoleto?
─En cuanto al código fuente del encrypter, debemos considerar que es un activo valioso para los grupos de ransomware. El código fuente permite a los grupos crear nuevas variantes de su ransomware y mejorar la eficacia de sus ataques, el FBI puede haberlo compartido con las autoridades de otros países para ayudar a combatir el ransomware. El código fuente también pudo utilizarse para desarrollar herramientas de análisis forense y de respuesta a incidentes, así como para ayudar a las víctimas a recuperar sus datos. Sin embargo, es importante tener en cuenta que la incautación de dominios no siempre es suficiente para desarticular un grupo de ransomware. En algunos casos, los grupos pueden reconstituirse o crear nuevos dominios. Además, los grupos pueden utilizar infraestructura alojada en países que no cooperan con las autoridades estadounidenses.
¿Caída o reconversión? El destino de Black Cat
Posibles alianzas de Black Cat. Foto MidjourneyLuego de que se conocieran las noticias sobre la caída del sitio, distintos analistas consideraron la posibilidad de que el grupo se desarmara. Sin embargo, no está claro qué pueda pasar, aún, con Black Cat.
─¿Qué significaría para el panorama de amenazas la caída de Black Cat?
─La caída de Black Cat puede interpretarse como un golpe significativo para el panorama de amenazas. Este grupo sofisticado con gran actividad ha atacado a una amplia gama de víctimas, desde pequeñas empresas hasta grandes corporaciones. El impacto de la caída de Black Cat se podría entender de varias maneras:
Disminución de los ataques: La pérdida de un grupo de ransomware activo como Black Cat reduciría el número de ataques de ransomware en general. Esto se debe a que Black Cat es un grupo muy eficaz y ha sido responsable de una gran cantidad de ataques.Disminución de los ingresos: La caída de Black Cat también reduciría los ingresos generados por el ransomware. Black Cat ha sido responsable de recaudar millones de dólares en pagos de rescate.Disminución de la presión sobre las organizaciones: La caída de Black Cat reduciría la presión sobre las organizaciones para pagar rescates. Black Cat es uno de los grupos de ransomware más agresivos, y ha amenazado con publicar datos robados si las víctimas no pagan el rescate.─Es, o era, uno de los grupos más prolíficos en el mundo del ransomware. ¿Impactaría en el modelo de negocio actual?
─La caída de Black Cat también podría representar un impacto en la evolución del ransomware. El grupo es conocido por su innovación y su rápida adaptación a las nuevas amenazas, pero también podría crear un vacío en el mercado del ransomware, que por supuesto podría ser llenado por otros grupos. La caída de Black Cat sin dudas es positiva para la seguridad de las organizaciones, aunque las organizaciones deben seguir tomando medidas para protegerse contra los ataques de ransomware, cómo formar a los empleados sobre los riesgos del phishing, instalar software de seguridad actualizado y mantener sus sistemas actualizados con las últimas correcciones de seguridad.
─LockBit y Black Cat estuvieron mostrando diálogo, según VX-Underground. ¿Es común que los grupos se unan?
─Los diálogos o interacciones entre grupos de ciberdelincuentes en foros clandestinos, como lo que mencionás entre LockBit y Black Cat, pueden suceder por diversas razones. Aunque no es tan común que los grupos se «unan» en el sentido de fusionar sus operaciones o formar una alianza formal, es posible que se comuniquen por varios motivos:
Compartir información: Los grupos pueden intercambiar tácticas, técnicas o información sobre vulnerabilidades, herramientas, o incluso estrategias para evadir la detección de sistemas de seguridad.Colaboración temporal: En algunos casos, grupos pueden colaborar temporalmente en ataques específicos o intercambiar acceso a sistemas comprometidos para maximizar sus ganancias.Negociaciones o confrontaciones: Pueden discutir términos de rescate, intercambiar amenazas o desafíos, o incluso intentar disuadir o competir entre ellos.Entre algunos ejemplos de grupos de ransomware que se han “unido” podemos destacar los siguientes:
REvil y DarkSide: En 2021, REvil y DarkSide se fusionaron para formar un nuevo grupo llamado Sodinokibi.Avaddon y DarkSide: En 2021, Avaddon y DarkSide también se fusionaron para formar un nuevo grupo llamado BlackMatter.Hive y Ragnar Locker: En 2022, Hive y Ragnar Locker comenzaron a colaborar para atacar a las mismas víctimas.
Un posible «supergrupo»: LockBit Black Cat
Black Cat tuvo diálogo con LockBit. Foto MidjourneyLos cibercriminales suelen reconvertir sus operaciones luego de las intervenciones de las fuerzas del orden. En algunos casos incluso, como sucedió con REvil, parte de la banda puede terminar con un proceso judicial o tras las rejas.
Black Cat tuvo una reacción pública tras la intervención del FBI. A diferencia de otros grupos, este grupo de ciberdelincuentes se mostró confrontativo.
“En principio el FBI colocó su nota de decomiso oficial, que luego fue modificada por Black Cat para reflejar una nota personal, explicando la situación y colocando nuevas reglas para el programa de afiliados: ahora se permite encriptar hospitales, plantas nucleares y ‘cualquier cosa en cualquier momento’ además de mejorar la comisión de rescate a 90% y remover la posibilidad de ofrecer descuentos”, recuerda el hacker Mauro Eldritch.
A partir de la noticia, la actividad en foros underground se incrementó y las teorías sobre el destino del grupo empezaron a desplegarse. Y si bien es cierto que una posibilidad es la cooperación o la unión con otra banda, tampoco es menor recordar que las interacciones entre distintas bandas no necesariamente implican una alianza, ya que en algunos casos hay hostilidad entre ellas.
LockBit y Black Cat mantuvieron un diálogo abierto en un foro clandestino (XSS). “Hoy el FBI lo atrapa a él, mañana vendrán por mí, le puede pasar a cualquiera, tenemos que mantenernos juntos así no nos matan de a uno, el FBI no nos agarra en solitario, trabajan con todas las fuerzas y servicios especiales del mundo, tenemos que hacer lo mismo”, posteó el usuario “LockBitSupp”.
“Lockbit tiene razón, todos deberíamos formar un cartel o nos van a ir cazando uno por uno”, contestó BlackCat46.
La unión de ambos carteles podría parir un supergrupo de ransomware y representar un dolor de cabeza más grande para empresas, instituciones y Estados.
SL