BLACKCAT: NUEVO RANSOMWARE ESCRITO EN RUST
Diferentes investigaciones advierten e informan del conocimiento de un nuevo ransomware en ejecución llamado Blackcat, también conocido como ALPHV, comprometiendo desde marzo del 2022 a por lo menos 60 corporaciones de todo el mundo según informa el FBI. Blackcat es del tipo ransomware-as-a-service (RaaS) el cuál recluta afiliados para intrusiones corporativas, cifrando archivos en la red de las victimas y robando archivos confidenciales para así poder obtener un rescate (ransom). Este ransomware podría ser el primer malware escrito en lenguaje de programación Rust.
Detalles técnicos del Ransomware Blackcat (ALPHV)
De acuerdo con BleepingComputer, Blackcat ransomware fue anunciado en foros de hacking de habla rusa como un ransomware que “se maneja enteramente desde la línea de comandos, es operado por personas y es altamente configurable, con la capacidad de usar diferentes rutinas de cifrado, extenderse entre computadoras, matar máquinas virtuales y VMs de ESXi, y borrar automáticamente las instantáneas de ESXi para prevenir la recuperación”
Blackcat (ALPHV) aprovecha las credenciales del usuario, previamente comprometidas, para obtener el acceso inicial al sistema de la víctima. Una vez el malware establece el acceso ya puede comprometer las cuentas de usuario y de administrador de Active Directory. El malware usa el Programador de Tareas de Windows para configurar directivas de grupo (Group Policy Object) maliciosas encargadas de desplegar el ransomware.
Antes de cifrar los archivos de la máquina afectada, el ransomware termina los procesos y los servicios de Windows para asegurarse de que los archivos objetivo no se bloqueen. El atacante secuestra los archivos de la máquina afectada y a continuación, pide un rescate en Bitcoin o Monero a la víctima para descifrar los archivos y no hacer públicos los archivos robados. Según se informa, el atacante también pide un rescate para no lanzar una denegación de servicio distribuida (DDoS) contra la víctima.
El vector de infección del ransomware Blackcat varía de un afiliado a otro. Normalmente, el ransomware se despliega a partir de otro malware entregado a través del correo electrónico, por la explotación de alguna vulnerabilidad o por conexiones no seguras a través de escritorios remotos (RDP).
¿Qué es Rust?
Rust es un lenguaje de programación que ha sido desarrollado como alternativa a C/C++ en Mozilla. Rust está diseñado teniendo en cuenta la seguridad y la gestión eficiente de los recursos. Por ello consta de toda la funcionalidad de C y la gestión de recursos de JAVA y sin los riesgos de seguridad de memoria inherentes al primero y los problemas de rendimiento del segundo.
Recomendaciones
En la actualidad no se tiene constancia de una mitigación concreta para detectar o prevenir el Blackcat ransomware en concreto, además de las ya recomendadas para cualquier otro ataque de este mismo tipo. De los ataques ya conocidos e investigados a mediados de febrero del 2022, se pudo publicar una lista de indicadores que puedan ayudar a prevenirlo como son IPs o nombres de archivos y sus correspondientes hashes:
