Ransomware BlackSuit, ¿la batalla final?
En un mundo digital en donde todos los ojos están puestos en la inteligencia artificial, el machine learning y las nuevas tecnologías, muchas veces nos olvidamos que las infecciones cibernéticas evolucionan con intensidad.
Durante todo el 2021 y parte del 2022 los responsables de la ciberseguridad de las empresas estuvieron entretenidos con el ransomware BlackMatter y cuando se creía que la batalla estaba encaminada hacia el éxito, apareció BlackSuit.
¿Cómo surgió? ¿Cómo combatirlo? Son muchas las preguntas y pocas las respuestas.
A continuación algunos datos para enfrentar con fuerza esta nueva batalla:
BlackSuit es un tipo de ransomware que evolucionó del ransomware Royal, utilizado por primera vez en septiembre de 2022. Este malware cifra archivos en sistemas infectados y exige un rescate a cambio de la clave de desencriptación.
A diferencia de sus antecesores, Blacksuit, emplea tácticas de doble extorsión, es decir, no solo cifra archivos, sino que también exfiltra datos y amenaza con publicarlos en un sitio web de filtraciones si no se paga el rescate.
En términos de funcionamiento, BlackSuit sigue patrones de otros grupos de ransomware conocidos, como REvil o Conti, pero ha hecho ajustes para mejorar su eficacia y evasión de detección.
La demanda de rescate no suele estar incluida en la nota de rescate de BlackSuit. En su lugar, la demanda se negocia directamente con la víctima a través de su sitio de filtraciones de datos, que está alojado en la red TOR con una URL .onion.
Cuando la víctima no cumple con las exigencias del rescate, el atacante publica los datos de la víctima junto con los datos robados en el sitio de la filtración. Las demandas suelen oscilar entre un millón y 10 millones de dólaresaunque se han registrado demandas de hasta 60 millones de dólares.
Acceso inicial
Los actores de BlackSuit suelen utilizar phishing, RDP (Protocolo de Escritorio Remoto) comprometido y aplicaciones públicas vulnerables para obtener acceso inicial a los sistemas de las víctimas. También pueden obtener credenciales de los logs y explotar las cuentas VPN que carecen de autenticación multifactor (MFA).
Tácticas y técnicas:
*Desactivación de antivirus*: Los actores de BlackSuit desactivan el software antivirus y exfiltran grandes cantidades de datos antes de desplegar el ransomware.
*Uso de herramientas legítimas*: Utilizan herramientas legítimas de Windows y software de código abierto para fortalecer su posición dentro de la red de la víctima.
Ejecución
Una vez que el ransomware BlackSuit entra en una red, establece comunicación con su servidor de mando y control (C2) para descargar la carga útil y las herramientas necesarias para establecer su infraestructura. Aprovecha herramientas como el cliente Secure Shell (SSH), PuTTY y OpenSSH para comunicarse con el servidor C2.
¿Cómo protegerse contra un ataque BlackSuit?
Educación de los empleados: Eduque a los empleados sobre el impacto del ransomware y proporcione capacitaciones para identificar correos electrónicos de phishing, procesos anómalos y ejecutables maliciosos.
Pruebas de vulnerabilidad: Realice análisis de vulnerabilidad en todos los dispositivos de red, software y aplicaciones, y actualice sus configuraciones de seguridad con regularidad.
Evaluación de riesgos: Los equipos de TI deben realizar evaluaciones periódicas de los riesgos y estimar las calificaciones de riesgo de todos los usuarios y entidades para detectar comportamientos sospechosos.
Filtrado de correo electrónico: Los correos electrónicos de phishing son vectores comunes de ransomware que llevan URL maliciosas, archivos adjuntos y ejecutables. Es necesario implementar herramientas de filtrado de correo electrónico ya que marcan los mensajes con contenido sospechoso y los bloquean de su bandeja de entrada.
Proteger el RDP: Implemente actualizaciones de seguridad periódicas para las aplicaciones de desktop remoto y garantice que las VPN, las herramientas MFA y los firewalls estén siempre al día.
Análisis del tráfico: Analice todo el tráfico entrante y saliente de la red y bloquee las transmisiones de paquetes de datos que contengan información sensible o archivos maliciosos.
Detección de anomalías: Monitoree el comportamiento de usuarios y entidades para señalar actividades anómalas, como accesos e inicios de sesión no autorizados, escalamiento de privilegios y movimiento lateral dentro de la red.
Monitoreo de archivos: Monitoree continuamente los archivos confidenciales, las carpetas y sus copias de seguridad para detectar ejecuciones anormales de archivos, intentos de acceso no autorizados, aumentos repentinos de la codificación de archivos y el cambio excesivo de nombres de archivos.
Copia de seguridad y cifrado de datos: Realice copias de seguridad de archivos con datos confidenciales y garantice la seguridad de los archivos originales y de sus copias de seguridad mediante técnicas de cifrado de datos.
Monitoreo de la seguridad: Implemente una solución de gestión de logs o una solución SIEM para obtener visibilidad en toda la red.
Conclusiones
Todos estos consejos, son algunas de las herramientas que lo ayudarán a combatir a este nuevo enemigo, pero como toda batalla el resultado final es incierto.
Para mitigar el riesgo de ataques de BlackSuit, es importante priorizar la remediación de vulnerabilidades conocidas y capacitar a los usuarios para reconocer y reportar intentos de phishing.
Habilitar y aplicar la autenticación multifactor con todos los usuarios de su compañía será otro de los pilares para sostener una estrategia de defensa robusta ante los Blacksuit.
Por último, no olvidar que como todo ataque el tiempo que le lleve restablecer las operaciones será fundamental. Es por eso que para dar batalla necesitará de soluciones robustas capaces de reestablecer el control de sus endpoints lo más rápido posible.
Si le interesó este tema lo invitamos a conocer, Ransomware Protection Plus, la nueva solución creada en ManageEngine que lo ayudará a vencer en esta batalla y recuperar toda la información sin contratiempos.
Comments