ALPHV Blackcat
ALPHV, también conocido por el nombre de BlackCat o Noberus, es una cepa de ransomware utilizada en operaciones de ransomware como servicio (RaaS).
El origen de ALPHV BlackCat
Desarrollado con el lenguaje de programación Rust, ALPHV puede ejecutarse en varios sistemas operativos, como Windows, Linux (Debian, Ubuntu, ReadyNAS, Synology) y VMWare ESXi.
Se comercializa bajo el nombre de ALPHV en foros de ciberdelincuencia, aunque los investigadores de seguridad suelen referirse a él como BlackCat, en alusión al icono del gato negro que aparece en su sitio de filtraciones.
Desde su primer despliegue observado en ataques de ransomware el 18 de noviembre de 2021, ALPHV ha mostrado versatilidad en sus capacidades de cifrado, soportando tanto algoritmos AES como ChaCha20.
Para garantizar la máxima interrupción, ALPHV puede eliminar las instantáneas de volumen, finalizar procesos y servicios y apagar máquinas virtuales en servidores ESXi.
Además, tiene la capacidad de autopropagarse a través de redes locales utilizando PsExec para ejecutarse remotamente en otros hosts.
ALPHV Blackcat fue desarticulada por el FBI en diciembre de 2023.
Objetivos
Objetivos de ALPHV
Países destinatarios de ALPHV
ALPHV Blackcat se dirigió sobre todo a Estados Unidos, seguido de Alemania y otros países europeos como Francia, España y Países Bajos.
Fuente: Palo Alto
Industrias a las que se dirige ALPHV
Los investigadores han examinado más de 210 anuncios relacionados con el ransomware BlackCat, descubriendo que los sectores de "Servicios profesionales, científicos y técnicos" y "Fabricación" son sus principales objetivos, siendo los bufetes de abogados y los servicios jurídicos los más afectados dentro de la industria de servicios profesionales.
Fuente: SOCradar
Industrias a las que se dirige ALPHV
Los investigadores han examinado más de 210 anuncios relacionados con el ransomware BlackCat, descubriendo que los sectores de "Servicios profesionales, científicos y técnicos" y "Fabricación" son sus principales objetivos, siendo los bufetes de abogados y los servicios jurídicos los más afectados dentro de la industria de servicios profesionales.
Fuente: SOCradar
ALPHV Blackcat's Victims
Hasta la fecha, más de 724 víctimas han sido presa de las operaciones maliciosas de ALPHV.
Fuente: ransomware.live
Método de ataque
ALPHV Blackcat's Método de ataque
ALPHV se centra principalmente en las vulnerabilidades de las aplicaciones de cara al público, probablemente explotando estos fallos para infiltrarse en los sistemas de red. En algunos casos, también utiliza cuentas de dominio legítimas, que pueden haberse obtenido a través de brechas anteriores o robo de credenciales, para hacerse un hueco en la red.
Una vez dentro de la red, ALPHV escala sus privilegios aprovechando estas mismas cuentas de dominio válidas, otorgándose niveles de acceso más altos que normalmente están reservados para los administradores. Esta escalada es crítica para profundizar su control sobre el sistema. En cuanto a la ejecución, ALPHV utiliza el intérprete de comandos de Windows para ejecutar comandos y scripts maliciosos, lo que facilita el despliegue y la propagación del ransomware.
Para eludir la detección y dificultar las respuestas defensivas, ALPHV desactiva o modifica activamente las herramientas de seguridad que podrían detectar o bloquear sus actividades, lo que incluye la cancelación de programas antivirus y la desactivación de servicios de seguridad, creando un entorno más permisivo para sus operaciones.
El impacto de ALPHV en los sistemas comprometidos es grave; cifra datos críticos utilizando algoritmos de cifrado robustos, lo que hace que los archivos sean inaccesibles para los usuarios. Además, socava los esfuerzos de recuperación del sistema mediante la eliminación de las instantáneas y la desactivación de las herramientas de recuperación, lo que agrava la interrupción causada y presiona a las víctimas para que cumplan las peticiones de rescate para restaurar el acceso a sus datos.
Acceso inicial
ALPHV se centra principalmente en las vulnerabilidades de las aplicaciones de cara al público, probablemente explotando estos fallos para infiltrarse en los sistemas de red. En algunos casos, también utiliza cuentas de dominio legítimas, que pueden haberse obtenido a través de brechas anteriores o robo de credenciales, para hacerse un hueco en la red.
Escalada de privilegios
Una vez dentro de la red, ALPHV escala sus privilegios aprovechando estas mismas cuentas de dominio válidas, otorgándose niveles de acceso más altos que normalmente están reservados para los administradores. Esta escalada es crítica para profundizar su control sobre el sistema. En cuanto a la ejecución, ALPHV utiliza el intérprete de comandos de Windows para ejecutar comandos y scripts maliciosos, lo que facilita el despliegue y la propagación del ransomware.
Defensa Evasión
Para eludir la detección y dificultar las respuestas defensivas, ALPHV desactiva o modifica activamente las herramientas de seguridad que podrían detectar o bloquear sus actividades, lo que incluye la cancelación de programas antivirus y la desactivación de servicios de seguridad, creando un entorno más permisivo para sus operaciones.
Acceso con credenciales
Descubrimiento
Movimiento lateral
Colección
Ejecución
Exfiltración
Impacto
El impacto de ALPHV en los sistemas comprometidos es grave; cifra datos críticos utilizando algoritmos de cifrado robustos, lo que hace que los archivos sean inaccesibles para los usuarios. Además, socava los esfuerzos de recuperación del sistema mediante la eliminación de las instantáneas y la desactivación de las herramientas de recuperación, lo que agrava la interrupción causada y presiona a las víctimas para que cumplan las peticiones de rescate para restaurar el acceso a sus datos.
MITRE ATT&CK Cartografía
TTP utilizadas por el ALPHV
ALPHV aplica un enfoque metódico y polifacético a sus ataques de ransomware, garantizando la eficacia en varias fases del ciclo de intrusión.
TA0001: Initial Access
T1190
Exploit Public-Facing Application
T1078
Valid Accounts
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1078
Valid Accounts
TA0004: Privilege Escalation
T1078
Valid Accounts
TA0005: Defense Evasion
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1558
Steal or Forge Kerberos Tickets
T1555
Credentials from Password Stores
T1552
Unsecured Credentials
TA0007: Discovery
No items found.
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
No items found.
TA0040: Impact
T1490
Inhibit System Recovery
T1657
Financial Theft
T1486
Data Encrypted for Impact
Detección de plataformas
Cómo detectar ALPHV con Vectra AI
Preguntas frecuentes
¿Qué es ALPHV BlackCat?
ALPHV BlackCat, también conocido como Noberus, es una sofisticada variante de ransomware escrita en Rust, utilizada en operaciones de ransomware como servicio (RaaS). Es capaz de atacar múltiples sistemas operativos, incluyendo Windows, Linux y VMWare ESXi.
¿Cómo obtiene ALPHV BlackCat el acceso inicial a una red?
ALPHV BlackCat suele obtener acceso inicial a través de exploits en aplicaciones de cara al público o mediante el uso de cuentas de dominio válidas que pueden haber sido comprometidas.
¿Cuáles son los principales objetivos de ALPHV BlackCat?
ALPHV BlackCat se dirige principalmente a sectores como los servicios profesionales, científicos y técnicos y la industria manufacturera, con especial atención a los bufetes de abogados y los servicios jurídicos dentro del sector profesional.
¿Qué algoritmos de cifrado utiliza ALPHV BlackCat?
ALPHV BlackCat puede configurarse para utilizar algoritmos de cifrado AES o ChaCha20 para bloquear los datos de la víctima.
¿Cómo elude la detección ALPHV BlackCat?
El ransomware emplea varias técnicas para eludir la detección, como desactivar las herramientas de seguridad y modificar los procesos del sistema para dificultar las medidas defensivas.
¿Qué pueden hacer las organizaciones para protegerse de los ataques ALPHV BlackCat?
Las organizaciones deben aplicar medidas de seguridad sólidas que incluyan la aplicación periódica de parches, el uso de protección avanzada de puntos finales, la formación de los empleados en materia de seguridad y el despliegue de una plataforma de detección de amenazas basada en IA, como Vectra AI , para detectar y responder a las amenazas con mayor eficacia.
¿Cómo afecta ALPHV BlackCat a los sistemas afectados?
El impacto de ALPHV BlackCat incluye el cifrado de archivos importantes, la eliminación de las instantáneas de volumen y la detención de servicios críticos y máquinas virtuales para maximizar la interrupción y presionar a las víctimas para que paguen el rescate.
¿Tiene ALPHV BlackCat alguna capacidad de autopropagación?
Sí, ALPHV BlackCat puede autopropagarse dentro de una red utilizando herramientas como PsExec para ejecutarse remotamente en otros hosts de la red local.
¿Cómo deben responder los equipos informáticos a una infección por ALPHV BlackCat?
El aislamiento inmediato de los sistemas afectados, la identificación y revocación de las credenciales comprometidas, la erradicación de la presencia del ransomware y la restauración a partir de las copias de seguridad son pasos fundamentales, junto con una investigación exhaustiva para prevenir futuras violaciones.
¿Qué papel desempeña la detección de amenazas basada en IA en la lucha contra ALPHV BlackCat?
Las plataformas de detección de amenazas basadas en IA, como Vectra AI, desempeñan un papel crucial en la identificación de signos sutiles de actividades de ALPHV BlackCat y otras amenazas sofisticadas mediante el análisis de patrones y anomalías que indican comportamientos maliciosos, lo que permite respuestas más rápidas y eficaces.