La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Oficina Federal de Investigaciones (FBI) y la Agencia de Seguridad Nacional (NSA) de los Estados Unidos han generado una alerta sobre la aparición del Ransomware BlackMatte. Este grupo de ransomware tipo (Raas) permite a los desarrolladores beneficiarse de los afiliados ciberdelincuentes que lo utilizan.
Según McAfee este grupo de amenaza presenta similitudes con los desarrolladores del ransomware DarkSide, que desde su aparición en agosto 2020 han afectado a diversas organizaciones a nivel mundial, como el conocido ataque de Colonial Pepilene que llamo la preocupación del gobierno de los EE. UU y las agencias de ciberseguridad del mundo.
La alerta emitida por CISA y las agencias de seguridad indican que DarkSide ha cambiado de nombre a BlackMatter y su objetivo es cifrar archivos de computadoras y exigir un rescate. Al igual que la mayoría de los ransomware roban archivos e información privada y solicitan un rescate de extorsión para no ser publicados en Internet.
“Utilizando credenciales incrustadas, previamente comprometidas, BlackMatter aprovecha el Protocolo ligero de acceso a directorios (LDAP) y el protocolo Bloque de mensajes del servidor (SMB) para acceder a Active Directory (AD) y descubrir todos los hosts en la red. Luego, BlackMatter encripta de forma remota los hosts y las unidades compartidas a medida que se encuentran”, informa el comunicado de CISA.
Los actores de BlackMatter han atacado a numerosas organizaciones de los EE. UU. Y han exigido pagos de rescate que van desde $ 80,000 a $ 15,000,000 en Bitcoin y Monero.
Este actor de amenaza utilizan un binario de cifrado independiente para las máquinas basadas en Linux y además cifran las máquinas virtuales ESXi. Los sistemas de respaldos también son afectados envés de ser cifrados BlackMatter borra o reformatea los dispositivos.
Las Agencia de Seguridad de Infraestructura y Ciberseguridad recomienda seguir las medidas de mitigación informada en su Alerta AA21-291
https://us-cert.cisa.gov/ncas/alerts/aa21-291a
Indicadores de compromiso (IOC)
SHA-256: 706f3eec328e91ff7f66c8f0a2fb9b556325c153a329a2062dc85879c540839d
