El Buró Federal de Investigaciones (FBI) reporta que al menos tres ciberataques contra infraestructura crítica en territorio estadounidense están relacionados con grupos operadores del ransomware BlackByte. En un aviso emitido junto con el Servicio Secreto, la agencia menciona que este grupo de ransomware como servicio (RaaS) ha crecido de forma constante hasta convertirse en una amenaza considerable.
Este fin de semana, el equipo de la NFL San Francisco 49ers confirmó que sus sistemas fueron comprometidos durante un ciberataque, apenas unas horas después de que en la plataforma dark web de BlackByte apareciera el nombre del equipo.
Algunos de estos ataques fueron posibles debido a la explotación de una vulnerabilidad conocida en Microsoft Exchange Server, que permitió acceso inicial a los sistemas afectados. Una vez dentro de estos objetivos, los atacantes implementaron herramientas de movimiento lateral y realizaron ataques de escalada de privilegios para el robo y cifrado de la información en el sistema.
Posteriormente los usuarios afectados encontrarán una nota de rescate en cada directorio o carpeta donde se almacenen archivos cifrados. Para negociar con los hackers y realizar el pago en criptomoneda, las víctimas deberán acceder a un sitio web alojado en la red Tor.
En su alerta, las agencias de investigación e inteligencia afirman que en algunos ataques registrados los hackers solo cifran parcialmente la información, por lo que es posible eliminar el cifrado en cierta medida. También se descubrió que algunas versiones más antiguas del ransomware BlackByte descargaban un archivo PNG antes de iniciar el cifrado, aunque las variantes más nuevas ya no se comunican con direcciones IP externas.
El ransomware genera un proceso para inyectar código y crear tareas programadas para eliminar archivos y ejecutar comandos específicos. La alerta contiene una lista de indicadores de compromiso relacionados con los ataques de BlackByte, además de múltiples recomendaciones sobre posibles mecanismos de mitigación, incluyendo:
- Implementación de copias de seguridad periódicas de todos sus datos
- Uso de segmentación de redes para que sus dispositivos no sean accesibles desde cualquier otra máquina
- Instalar y actualizar software antivirus en todos los hosts y habilitar la detección de amenazas en tiempo real
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.