Ciudad de México, 18 de Agosto 2022.- Metabase Q, la plataforma end-to-end líder de ciberseguridad para compañías en América Latina, aseguró que, tras una extensa investigación, el grupo ruso ALPHV/Blackcat, creador del ransomware que colapsó en mayo de 2021 al sistema de gasoductos en los Estados Unidos se ha convertido ya en una amenaza real para México y Latinoamérica.
En un comunicado, añadió que, de acuerdo con el estudio realizado por Metabase Q, a poco más de un año de los primeros ataques, este grupo criminal (ALPHV/Blackcat), suma 2 tipos de extorsión adicionales.
“El primero son ataques de denegación, es decir a nuestros portales web o infraestructura en la nube, con el objetivo de frenar, obstruir, o entorpecer la operación de toda la infraestructura que se tenga expuesta en internet, (portales web de servicio, de atención, de gestión).
“El otro es la indexación abierta al público de toda aquella información que fue robada; por ejemplo, documentos, archivos, etc. Es decir, crean un mercado de compraventa de toda la información robada a menos que el afectado pague el rescate de la misma”.
Al respecto, el Director General de Metabase Q, Mauricio Benavides, afirmó que la firma dirigida por él ya está familiarizada y sabe cómo operan los dos tipos de extorsión digital de este grupo especializado en ransomware, el cual “a través del cifrado de nuestra información genera la extorsión para obtener un pago por su recuperación, bajo la amenaza de ofertar o compartirla al público en general”.
Es así que, cualquier persona con acceso al sitio del grupo de ransomware, puede buscar por información específica, credenciales (usuarios y contraseñas) a sistemas específicos, planos, proyectos, directorios, etc. Básicamente una biblioteca perfectamente organizada de la información robada.
En Latinoamérica, México es uno de los países más afectados por los efectos de ALPHV/Blackcat, pues más de 40 empresas han sufrido de ciberataques por este ransomware principalmente en la Ciudad de México, Guanajuato, Chihuahua, Nuevo León, Jalisco y el Estado de México.
Las industrias objetivo son diversas pues al acceder a los portales de exposición de la información se encontraron diversas empresas mexicanas de los sectores financiero, energía, tecnología, manufacturero, construcción, farmacéutico, e incluso gubernamental.
Son más de mil empresas las afectadas, sin embargo, se descubrió que para llevar a cabo un ataque con ALPHV *un asociado (probablemente un colaborador) debe conocer o tener noción de un punto de acceso a la infraestructura de la empresa objetivo, esto, para facilitar el ataque.
Ya que usarán desde una pieza de ransomware específica, como infraestructura única para llevar a cabo cada uno de los ataques. Con esto, logran evadir las soluciones basadas en muestras o infraestructura identificada como maliciosa.
Sinn identificarla, agregó que la última empresa mexicana conocida, fue atacada el 24 de mayo de este año. El grupo de ransomware filtró el contenido.
Sin embargo, poco después lo retiró (es posible que se haya pagado el rescate). Aquí podemos hacer un breve paréntesis para poner en análisis lo siguiente: un grupo criminal que comienza a ver que un tipo de objetivo paga rescate, comienza a ver en él un “cliente seguro”. Si empresas mexicanas pagan por el rescate, nos llevará a ser blanco de más y más grupos similares.
Actualmente, aquellas empresas que han sido atacadas y pagan el rescate a tiempo, no han sido expuestas por estos grupos de ransomware. Por ello, al momento no es posible conocer el número real de víctimas de este ciberdelito.
*El asociado: Básicamente es un esquema de negocio que ofrecen los grupos de ransomware, donde puedes ser, desde un especialista con nivel técnico alto que cuente con accesos de alguna empresa obtenidos de manera ilegal y pueda ofrecerlos o bien un empleado descontento que cuenta con acceso a la infraestructura y puede ser usado como el primer escalón de un ataque, conocido como Insider Threat.
El texto señaló: “Sabemos que el pago promedio de ransomware aumentó un 82 por ciento de 2020 a 2021, pero al llegar a 2022, los precios volvieron a incrementarse.
“Sin embargo, este grupo de ransomware maneja precios aún mayores. Se sabe que los montos más comunes que solicita ALPHV superan los $2.5 MDD.
“A pesar de que ALPHV está ́compitiendo ́ con otros grupos de ransomware como CONTI y LOCKBIT 3.0, siempre está buscando innovar buscando nuevos mecanismos para garantizar el éxito de la extorsión y por ende el pago del rescate”.
Para concluir, indicó que si bien las características de esta amenaza parecen ya conocidas, puede sumarse a esto que el nivel técnico de quien está detrás del desarrollo del malware es elevado, ya que además de ser *el primer grupo de ransomware que diseña sus piezas de malware en RUST (lenguaje de programación sofisticado), también cuenta con mecanismos para evadir las detecciones por distintas soluciones de seguridad avanzadas.
Estableció que otros grupos de ransomware ya se están subiendo a este tipo de programación para armar piezas de malware igual de sofisticadas y con ello subir el porcentaje de ataques exitosos.
Sobre empresas e industrias recientemente dañadas, apuntó que en julio pasado se filtraron distintas cantidades de información, desde 13.5 GB hasta 2.7 Terabytes. Las industrias más afectadas en ese mes fueron la jurídica, y las de servicios de TI. (Infoqroo)
