El grupo ransomware ALPHV/BlackCat ha comenzado a publicar sitios web de víctimas individuales en la internet pública, con los datos filtrados disponibles de forma que sean fáciles de buscar por los propios empleados y víctimas (por ejemplo, huéspedes de un hotel).
El ransomware es un tipo de malware que se secuestra información de las víctimas (especialmente empresas), las cifra y luego pide dinero para recuperarla y no filtrarla.
Los grupos de criminales que se especializan en robar datos corporativos y exigir un rescate para no publicarlos han intentado innumerables enfoques para avergonzar a sus víctimas para que paguen. La última innovación para aumentar el calor proviene del grupo de ransomware ALPHV/BlackCat, que tradicionalmente ha publicado los datos de las víctimas robadas en la Dark Web.
Ahora, sin embargo, el grupo comenzó a publicar sitios web de víctimas individuales en la Internet pública, con los datos filtrados disponibles en una forma fácil de buscar.
El sitio de ALPHV afirma preocuparse por la privacidad de las personas, pero permiten que cualquiera vea los datos confidenciales robados.
ALPHV anunció recientemente en su sitio web de extorsión de víctimas que había hackeado un spa y resort de lujo en el oeste de los Estados Unidos. En algún momento de las últimas 24 horas posteriores al ataque, ALPHV publicó un sitio web con el nombre de la misma víctima en el dominio y su logotipo en la página de inicio.
El sitio web afirma enumerar la información personal de 1.500 empleados del resort y más de 2.500 residentes en las instalaciones. En la parte superior de la página hay dos botones "Revise usted mismo", uno para los empleados y otro para los invitados.
Como parte de este ataque, la banda de ransomware afirma haber robado 112 GB de datos, incluida la información de los empleados, como números de la Seguridad Social, fecha de nacimiento, números de teléfono y direcciones de correo electrónico de más de 1.500 empleados.
Los datos están en una web normal, accesible a todos, que permite a los empleados y clientes comprobar si sus datos fueron robados durante el ataque al hotel. En realidad, cualquier persona puede acceder a la información. En otro casos, las bandas recurren a la dark web, pero en este caso está a disponibilidad de cualquiera e incluso es indexable en un buscador. Así, es más fácil que la empresa acabe pagando, porque recibirá presión de trabajadores y clientes.
Los expertos opinan
Brett Callow, un analista de amenazas de la firma de seguridad Emsisoft, calificó el movimiento de ALPHV como "una táctica astuta" que seguramente preocupará a sus otras víctimas.
Callow dijo que la mayoría de los blogs que avergüenzan a las víctimas mantenidos por los principales grupos de rescate de datos y ransomware existen en sitios oscuros y de carga lenta en Darknet, a los que solo se puede acceder mediante el uso de software de terceros como Tor. Pero el sitio web erigido por ALPHV como parte de esta nueva táctica de presión está disponible en Internet abierta.
“Es probable que las empresas estén más preocupadas por la posibilidad de que sus datos se compartan de esta manera que simplemente se publiquen en un sitio oscuro de Tor del que casi nadie conoce la URL”, dijo Callow. “Enfadará a la gente y hará que las demandas colectivas sean más probables”.
No está claro si ALPHV planea seguir este enfoque con cada víctima, pero otras víctimas recientes del grupo criminal incluyen un distrito escolar y una ciudad de EE. UU. Lo más probable es que se trate de una prueba para ver si mejora los resultados.
“No vamos a parar, nuestro departamento de distribución de fugas hará todo lo posible para enterrar su negocio”, se lee en el sitio web de la víctima. “En este punto, todavía tiene la oportunidad de mantener la seguridad y la reputación de su hotel. Le recomendamos encarecidamente que sea proactivo en sus negociaciones; no tienes mucho tiempo.
Sobre ALPHV/BlackCat
Surgido en noviembre de 2021, ALPHV es quizás más notable por su lenguaje de programación (está escrito en Rust). ALPHV ha estado reclutando activamente operadores de varias organizaciones de ransomware, incluidas REvil, BlackMatter y DarkSide, ofreciendo a los afiliados hasta el 90 por ciento de cualquier rescate pagado por una organización víctima.
Muchos expertos en seguridad creen que ALPHV/BlackCat es simplemente un cambio de marca de otro grupo de ransomware: "Darkside", también conocido como "BlackMatter", la misma pandilla responsable del ataque de 2021 en Colonial Pipeline que causó escasez de combustible y aumentos de precios durante varios días el verano pasado.
Callow dijo que puede haber una ventaja en esta innovación de ALPHV, y señaló que su esposa recientemente escuchó directamente de un grupo de ransomware diferente: Cl0p.
“En una nota positiva, acrobacias como esta significan que las personas pueden descubrir que su IP ha sido comprometida”, dijo. “Cl0p le envió un correo electrónico a mi esposa el año pasado. La empresa que perdió sus datos aún no ha hecho ninguna divulgación pública ni ha notificado a las personas afectadas (al menos, no ha tenido noticias de la empresa)”.
El arsenal de BlackCat consta de varios elementos. El primero es el cifrador del mismo nombre que está escrito en lenguaje Rust, gracias al cual los atacantes lograron crear una herramienta multiplataforma con versiones del malware que funcionan tanto en entornos Windows como Linux.
En segundo lugar, está la utilidad Fendr, que se utiliza para extraer datos de la infraestructura infectada. El uso de esta herramienta sugiere que BlackCat pueda ser simplemente un cambio de imagen de BlackMatter: el único grupo conocido que usaba esta herramienta, también conocido como ExMatter.
BlackCat también utiliza la herramienta PsExec para el movimiento lateral en la red de la víctima; Mimikatz, y software Nirsoft para extraer contraseñas de red.
Comments