Noticias

BlackCat, el nuevo ransomware que va a la caza del Active Directory

Con el sigilo y la rapidez de un felino, el ransomware BlackCat se está propagando globalmente, atacando a empresas de sectores como construcción e ingeniería, ventas minoristas, transporte, servicios comerciales, telecomunicaciones y energía, entre otros, en países como Estados Unidos, Europa, Filipinas y más.

Los grupos que están detrás de BlackCat operan bajo el modelo de “ransomware como servicio” (RaaS), como lo hacen otros clanes dedicados a desarrollar este tipo de software malicioso y el cual ponen a disposición de otros cibercriminales para que lo utilicen en los ataques de ransomware a cambio de una buena tajada del pago del rescate.

ALPHV, como también se le conoce a esta cepa de ransomware, ha demostrado ser altamente efectivo desde su surgimiento en noviembre de 2021, pues se calcula que ha exigido rescates por hasta $14 millones de dólares y ha comprometido hasta Marzo al menos 60 entidades a nivel del mundo incluyendo México. No solamente roba o cifra datos, los cuales amenaza con exponer en la Dark Web de no pagarse el monto exigido, sino que también aplica el método de la “triple extorsión” al amenazar a las entidades afectadas con lanzar ataques de denegación de servicio (DDoS).

La particularidad de BlackCat es su sofisticación, pues es un ransomware operado por humanos y se basa en líneas de comando, lo que dificulta que las herramientas de detección tradicionales alerten sobre su presencia en un sistema. De hecho, se sabe que utiliza una amplia gama de métodos de cifrado, lo que le permite moverse lateralmente y tener privilegios administrativos para propagarse a otras computadoras, cifrar otros dispositivos y borrar totalmente información que no podrá volverse a recuperar incluyendo copias de respaldo y máquinas virtuales.

Lo anterior se ha manifestado de manera palpable, pues nuevamente y como lo han hecho otros operadores de familias como Conti, LockBit 2.0 o DarkSide se aprovecha de las debilidades de configuración disponibles alrededor del Directorio Activo (AD), pues al final el atacante toma control completo del domino e incluso implementa el “payload final” a través de una política de grupo a los equipos de las organizaciones. Hay que recordar que el AD es la plataforma de identidad que más utilizan las empresas y, si se compromete; le da a los atacantes el control que buscan para obtener privilegios, inhabilitar las herramientas de seguridad y moverse lateralmente dentro de la organización.

De acuerdo con un reporte de CyberRisk Alliance (CRA), el 95% de los ataques involucran el Directorio Activo (AD) de Windows, el cual sirve como la principal solución de identidades para la mayoría de las organizaciones, destacando que las exposiciones del AD son una de las causas primordiales de por qué los creadores de ransomware siguen teniendo éxito.

Por otra parte, el hecho de que la pandilla escriba su ransomware en Rust, a diferencia de C/C++ es interesante, ya que le añade capacidades para evadir la detección y mejorar su versatilidad, lo que permite atacar tanto sistemas Linux como Windows haciéndolo más efectivo.

Protección integral

Proteger el AD es la medida fundamental para prevenir que BlackCat se propague por las redes corporativas. Para lograrlo de forma efectiva, los profesionales de la ciberseguridad están optando por modelo integral que incluya la detección y prevención de las actividades de reconocimiento que realizan los atacantes, así como otros parámetros que puedan indicar que los dominios se están comprometiendo.

Una alternativa que está llamando su atención es el enfoque denominado recientemente por el analista Gartner como “Identity Detection and Response (ITDR)”, que justifica su utilidad para brindar visibilidad sobre las soluciones de seguridad existentes como el punto final y la capacidad de detectar y defender ante eventos críticos como el robo y mal uso de credenciales, además de los intentos de afectar al Active Directory.

Debido a la velocidad con que BlackCat se está propagando, las herramientas de IDR se están convirtiendo en componentes críticos del portafolio de seguridad de las empresas. Y es por una buena razón: pueden proteger las credenciales de los usuarios y los objetos del AD, al tiempo de reducir la superficie de ataque mediante el uso de herramientas de visibilidad de las exposiciones tanto locales como en la nube.

Estas soluciones pueden ayudar a los encargados de la ciberseguridad a resolver las exposiciones que un cibercriminal podría aprovechar e identificar ataques como cambios en las cuentas, ataques de fuerza bruta, delegación peligrosa o actividades de replicación de dominios. Mediante el aseguramiento correcto de identidades es posible evitar que los atacantes se muevan por la red sin ser detectados, sin importar qué código o técnicas estén utilizando.

Una carrera constante

En el estudio de CRA mencionado anteriormente, el 62% de los participantes indicó que planean aumentar su gasto para combatir el ransomware en 2022. Respecto a las medidas que planean implementar para fortalecer sus sistemas a fin de evitar futuros ataques, el 71% de ellos mencionó la educación de los empleados para proteger los endpoints, el 70% dijo que cambiar contraseñas; sólo un 41% dijo que añadiría AD a su programa de monitoreo.

Si bien destinar más recursos a combatir el ransomware es una excelente noticia, es crítico que se preste más atención a AD. Y es que si hay algo que distingue a los atacantes es que destinan muchas de sus ganancias a innovar de manera permanente, gracias a lo que pueden desarrollar código para evadir los sistemas de defensa, así como las alertas de las herramientas de gestión de acceso de identidades (IAM) incluyendo los componentes de MFA. Ante los ataques de ransomware, la recomendación es implementar soluciones de seguridad que sean capaces de detectar el movimiento lateral y otros ataques potenciales dentro de la red que permitan identificar las señales tempranas de una intrusión.

Es una realidad que los ciberdelincuentes buscarán siempre dirigir sus actividades maliciosas al Active Directory para tener el control que necesitan para cifrar los sistemas, cambiar las configuraciones de seguridad, eliminar respaldos y no dejar rastro de sus ataques. Por ello, la mejor defensa hoy contra BlackCat y otros tipos de ransomware es evitar a toda costa que los atacantes se muevan entre los sistemas, consigan la información que necesitan y blindar AD lo mejor posible. El gato anda suelto y no lleva un cascabel atado al cuello.

Por Juan Carlos Vázquez, Director Regional de Attivo Networks

Yesica Flores

Soy Yes, blogger desde hace más de 5 años. Me he especializado en el viejo y olvidado arte de divagar. Contacto [email protected]

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.