{"id":27085,"date":"2022-04-20T20:03:04","date_gmt":"2022-04-20T18:03:04","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=27085"},"modified":"2022-04-20T20:09:34","modified_gmt":"2022-04-20T18:09:34","slug":"black-cat-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/black-cat-ransomware\/27085\/","title":{"rendered":"BlackCat: un nuevo jugador en el negocio del ransomware"},"content":{"rendered":"<p>Ning\u00fan mercado acepta el vac\u00edo y esto tambi\u00e9n se aplica al <em>ransomware<\/em>. Despu\u00e9s de que los grupos BlackMatter y REvil cesaran sus operaciones, la aparici\u00f3n de nuevos jugadores era solo cuesti\u00f3n de tiempo.<\/p>\n<p>Uno de ellos es el grupo ALPHV, tambi\u00e9n conocido como BlackCat, que en diciembre del a\u00f1o pasado public\u00f3 anuncios de sus servicios en foros de ciberdelincuentes. Despu\u00e9s de varios incidentes, nuestros expertos del equipo de an\u00e1lisis e investigaci\u00f3n global (GReAT) decidieron estudiar detenidamente la actividad de este grupo y publicar un informe completo en el <a href=\"https:\/\/securelist.com\/a-bad-luck-blackcat\/106254\/\" target=\"_blank\" rel=\"noopener\">sitio web de Securelist<\/a>.<\/p>\n<p>En sus anuncios, los atacantes afirmaban haber estudiado los errores y problemas de sus predecesores para crear una versi\u00f3n mejorada del <em>malware<\/em>. Sin embargo, hay indicios de que su conexi\u00f3n con los grupos BlackMatter y REvil puede ser mucho m\u00e1s \u00edntima de lo que intentan mostrar.<\/p>\n<h2>\u00bfQui\u00e9n es el grupo BlackCat y qu\u00e9 herramientas usa?<\/h2>\n<p>Los creadores del <em>ransomware<\/em> BlackCat ofrecen sus servicios bajo la estrategia <em>ransomware<\/em> como servicio (RaaS por sus siglas en ingl\u00e9s).<\/p>\n<p>En otras palabras, brindan a otros atacantes acceso a su infraestructura y c\u00f3digo malicioso y, a cambio, obtienen una parte del rescate. Adem\u00e1s, probablemente los miembros de este grupo tambi\u00e9n sean responsables de las negociaciones con las v\u00edctimas. Por lo tanto, lo \u00fanico que tendr\u00eda que hacer su \u201cfranquiciado\u201d por s\u00ed mismo es acceder al entorno corporativo. Este principio de \u201ctenemos todo bajo control\u201d es la raz\u00f3n por la que BlackCat ha ganado impulso tan r\u00e1pidamente: su <em>malware<\/em> ya se usa para atacar a empresas de todo el mundo.<\/p>\n<p>El arsenal de BlackCat consta de varios elementos. El primero es el cifrador del mismo nombre que est\u00e1 escrito en lenguaje Rust, gracias al cual los atacantes lograron crear una herramienta multiplataforma con versiones del <em>malware<\/em> que funcionan tanto en entornos Windows como Linux.<\/p>\n<p>En segundo lugar, est\u00e1 la utilidad Fendr, que se utiliza para extraer datos de la infraestructura infectada. El uso de esta herramienta sugiere que BlackCat pueda ser simplemente un cambio de imagen de BlackMatter: el \u00fanico grupo conocido que usaba esta herramienta, tambi\u00e9n conocido como ExMatter.<\/p>\n<p>BlackCat tambi\u00e9n utiliza la herramienta PsExec para el movimiento lateral en la red de la v\u00edctima; Mimikatz, el conocido <em>software<\/em> de los ciberdelincuentes, y el <em>software<\/em> Nirsoft para extraer contrase\u00f1as de red.<\/p>\n<p>Para m\u00e1s informaci\u00f3n t\u00e9cnica sobre los m\u00e9todos y herramientas de BlackCat, as\u00ed como los indicadores de compromiso, visita este <a href=\"https:\/\/securelist.com\/a-bad-luck-blackcat\/106254\/\" target=\"_blank\" rel=\"noopener\">art\u00edculo de Securelist.<\/a><\/p>\n<h2>\u00bfQui\u00e9nes son las v\u00edctimas de BlackCat?<\/h2>\n<p>Entre los incidentes del <em>ransomware<\/em> BlackCat, nuestros expertos vieron al menos un ataque a una empresa industrial sudamericana involucrada en petr\u00f3leo, gas, miner\u00eda y construcci\u00f3n, as\u00ed como la infecci\u00f3n de varios clientes de un proveedor de planificaci\u00f3n de recursos empresariales de Oriente Medio.<\/p>\n<p>Uno de los hechos m\u00e1s preocupantes es la evoluci\u00f3n de Fendr. Por el momento, la herramienta puede descargar autom\u00e1ticamente una gama mucho m\u00e1s amplia de archivos, en comparaci\u00f3n con casos anteriores de ataques grupales de BlackMatter.<\/p>\n<p>Los ciberdelincuentes a\u00f1adieron recientemente la capacidad de encontrar archivos con la siguiente lista de extensiones: .sqlite, .catproduct, .rdp, .accdb, .catpart, .catdrawing, .3ds, .dwt y .dxf. Este tipo de archivos est\u00e1n relacionados con aplicaciones de dise\u00f1o industrial y herramientas de acceso remoto, y esto puede significar que los creadores del <em>malware<\/em> se dirijan ahora a entornos industriales.<\/p>\n<h2>\u00bfC\u00f3mo mantenerse a salvo?<\/h2>\n<p>Para evitar que tu empresa pierda informaci\u00f3n de relevancia, en primer lugar, te recomendamos proteger todos los dispositivos corporativos utilizando <a href=\"https:\/\/www.kaspersky.es\/small-to-medium-business-security?icid=es_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">soluciones de seguridad de confianza<\/a> y, en segundo lugar, dar a conocer a <a href=\"https:\/\/k-asap.com\/es\/?icid=es_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder____kasap___\" target=\"_blank\" rel=\"noopener\">los empleados los conceptos b\u00e1sicos de la seguridad de la informaci\u00f3n<\/a> de forma peri\u00f3dica.<\/p>\n<p>Dado que el <em>ransomware<\/em> como servicio va en aumento, es m\u00e1s importante que nunca que cualquier empresa est\u00e9 preparada para el incidente y cuente con una estrategia <em>antiransomware<\/em> de varios niveles.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-ransomware\">\n","protected":false},"excerpt":{"rendered":"<p>Nuestros expertos han investigado la actividad y herramientas del grupo de ransomware BlackCat.<\/p>\n","protected":false},"author":2581,"featured_media":27086,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2202,2754],"tags":[1884,401],"class_list":{"0":"post-27085","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-cifradores","10":"tag-ransomware"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/black-cat-ransomware\/27085\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/black-cat-ransomware\/24055\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/black-cat-ransomware\/19541\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/black-cat-ransomware\/26379\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/black-cat-ransomware\/24326\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/black-cat-ransomware\/24673\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/black-cat-ransomware\/33086\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/black-cat-ransomware\/10634\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/black-cat-ransomware\/44120\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/black-cat-ransomware\/18784\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/black-cat-ransomware\/19314\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/black-cat-ransomware\/28475\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/black-cat-ransomware\/24954\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/black-cat-ransomware\/30406\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/black-cat-ransomware\/30174\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/ransomware\/","name":"ransomware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/27085","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=27085"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/27085\/revisions"}],"predecessor-version":[{"id":27088,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/27085\/revisions\/27088"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/27086"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=27085"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=27085"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=27085"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}