El ransomware, un tipo de malware que ha costado a las empresas millones en rescates, está evolucionando. La última iteración de este peligro digital, conocido como BlackCat, ha causado alarma en la comunidad de ciberseguridad debido a su uso de Munchkin, una máquina virtual (VM) de Linux, para perpetrar ataques sin dejar rastro. Este enfoque novedoso ha rediseñado el campo de batalla cibernético, y tanto empresas como individuos deben comprender las implicaciones de estos cambios para protegerse adecuadamente.
¿Qué es BlackCat y por qué es Único?
BlackCat no es el típico ransomware. Mientras la mayoría de los malwares similares se infiltran en los sistemas y cifran archivos, exigiendo un rescate por la descodificación, BlackCat lleva las cosas un paso más allá. La campaña de ransomware BlackCat/ALPHV ha incorporado una herramienta innovadora denominada 'Munchkin', diseñada para desplegar sus cifradores mediante máquinas virtuales en dispositivos de red, manteniendo un perfil bajo.
Munchkin facilita que BlackCat opere en sistemas distantes o codifique recursos de red compartidos usando protocolos de bloques de mensajes de servidor (SMB) o sistema de archivos comunes en Internet (CIFS). Con la adición de Munchkin a su sofisticado conjunto de herramientas, BlackCat realza su atractivo dentro del modelo RaaS (Ransomware como Servicio), captando la atención de ciberdelincuentes aspirantes a asociarse en programas de ransomware.
Te podría interesar leer: Perfil del sitio en la dark web: BlackCat (ALPHV)
Ocultándose dentro de VirtualBox
La Unidad 42 de Palo Alto Networks ha descubierto que BlackCat está utilizando una herramienta avanzada llamada "Munchkin", que opera a través de una versión personalizada de Alpine OS Linux en una máquina virtual (VM). Tras infiltrarse en un sistema, los atacantes instalan VirtualBox y establecen una VM con Munchkin, que contiene varios scripts y utilidades para orquestar el ataque, incluido el cifrado de archivos y la movilidad lateral en la red.
Esta VM modifica las contraseñas, emplea el programa 'tmux' y activa un malware conocido como 'controlador' para gestionar los ataques. El controlador, alimentado por un archivo de configuración detallado, facilita la creación y distribución de ransomware personalizado de BlackCat. Se ha encontrado un mensaje de precaución en el código del malware, aconsejando a los afiliados eliminar cualquier rastro de la ISO de Munchkin para evitar filtraciones de información sensible, como tokens de acceso.
Los ciberdelincuentes están precautorios sobre la filtración de muestras de malware y comunicaciones, proporcionando tokens de acceso solo durante la ejecución para proteger los chats de negociación. Además, Munchkin complica la labor de los programas de seguridad por su naturaleza aislada y operaciones automatizadas, y su diseño modular permite una adaptabilidad significativa para diferentes tipos de ataques, haciendo que la detección y prevención por parte de soluciones de seguridad sea más desafiante.
Te podría interesar leer: BlackCat Ransomware afecta a Azure con cifrador Sphynx
La constante evolución de BlackCat
BlackCat apareció a finales de 2021, estableciéndose como una operación de ransomware altamente sofisticada que utiliza Rust, emergiendo como heredera de iniciativas previas como BlackMatter y Darkside.
El modelo RaaS (Ransomware como Servicio) ha mantenido una evolución exitosa, incorporando de manera consistente nuevas funcionalidades avanzadas. Entre estas se destacan un sistema de cifrado altamente personalizable y adaptativo, una API dedicada para la fuga de datos, la integración con herramientas como Impacket y Remcom, así como cifradores que admiten credenciales específicas a medida, controladores de kernel con firmas digitales y mejoras continuas en su sistema para exfiltrar información.
Durante el año 2023, BlackCat ha comprometido la seguridad de entidades de alto perfil, incluyendo al Tribunal de Circuito de Florida, MGM Resorts, Motel One, Seiko, Estee Lauder, HWL Ebsworth, Western Digital y Constellation Software, evidenciando su capacidad de impactar a organizaciones globales.
Te podría interesar leer: MGM Resorts atacado por Scattered Spider de BlackCat
La aparición de BlackCat y su uso de la máquina virtual Munchkin para esconderse ilustra una evolución preocupante en la ciberdelincuencia. Las defensas contra el ransomware ya no pueden depender solo de las herramientas de seguridad tradicionales. En cambio, se necesita una comprensión más profunda de las amenazas, una mejor educación en seguridad y una inversión en tecnologías más avanzadas para detectar y prevenir estos ataques.