Publicado 15/05/2023
En las últimas semanas, AVIDATA ha tenido conocimiento de varios incidentes con el ransomware Blackcat (Es un software malicioso que, al infectar un sistema, extrae y cifra los datos del sistema afectado. La exfiltración implica copiar y transferir datos almacenados en un sistema. BlackCat Ransomware es un modelo de negocio de ransomware como servicio (RaaS) que se basa en una estructura de marketing de afiliados. Operar como un modelo de negocio RaaS significa que BlackCat no aloja ni distribuye el malware por sí mismo, sino que confía en terceros para que lo hagan por ellos. Operar de esta manera permite a BlackCat evitar la responsabilidad legal y también le ayuda a evitar la detección por parte del software antivirus. ¿Qué es el ransomware como servicio? El ransomware como servicio (RaaS) es un tipo de ciberataque relativamente nuevo que permite a cualquiera comprar software malicioso y utilizarlo para mantener los archivos como rehenes, normalmente, hasta que se pague un rescate. RaaS es extremadamente rentable para los hackers porque pueden alquilar su software de ransomware a otros delincuentes sin tener que preocuparse de ser atrapados por las fuerzas de seguridad, como lo harían si estuvieran ejecutando sus propios ataques).
El vector de entrada a la red de la víctima ha sido un acceso remoto en el que los atacantes han usado credenciales legítimas de proveedores de servicios de TI, previamente comprometidas. En algunos casos, dichas credenciales otorgaban a los atacantes privilegios de administración, lo que les facilita el movimiento lateral y el despliegue de sus herramientas.
Tras el acceso inicial, los atacantes extraen información de las redes de las víctimas y despliegan código dañino de tipo ransomware, sometiendo a continuación a las entidades afectadas a una doble extorsión tras amenazarles con publicar la información robada.
Ante esta situación, se recuerda la importancia de tomar las siguientes medidas:
- Limitar al máximo el número los usuarios con acceso remoto a los sistemas de la organización;
- Aplicar la política de mínimo privilegio, de modo que el acceso remoto no otorgue permisos de administración dentro del dominio;
- Establecer una política de cambio de contraseñas periódico en el acceso remoto;
- Desplegar un segundo factor de autenticación (2FA) basado en OTP (one-time password), token hardware o, en su defecto, mensaje de texto SMS o llamada;
- Revisar inicios de sesión a través de los accesos remotos fuera del horario laboral, especialmente durante las horas nocturnas y los fines de semana;
- Bloquear los accesos remotos provenientes desde direcciones IP geolocalizadas fuera de España o habilitar solo aquellos estrictamente necesarios desde el extranjero.
