En al menos 12 empresas del sector industrial y manufacturero de Guanajuato, Ciudad de México, Chihuahua, Nuevo León, Jalisco y Estado de México se ha detectado la presencia del grupo de ransomware BlackCat.
La unidad de investigación de Silikn, una startup de ciberseguridad egresada del programa de aceleración de Socialab México, alertó de la aparición de este tipo de malware tras análisis efectuados en febrero y marzo de 2022.
En una publicación de blog, su fundador Víctor Ruiz, aseguró que BlackCat “marca un nuevo tipo de riesgo en el sentido de que este grupo cibercriminal se construye a partir de afiliados de otras operaciones de ransomware como servicio (RaaS)”.
Los operadores, detalló, reclutan afiliados para realizar violaciones corporativas y cifrar dispositivos. A cambio, obtendrán una participación variable en los ingresos, entre 80 y 90%, según el tamaño del pago de un rescate, que puede superar los $3 millones de dólares.
Vínculos con otros ransomware
También conocido como ALPHV, el grupo surgió en noviembre de 2021 y desde entonces se ha dirigido a organizaciones en todo el mundo. En sus recientes ataques, ha desplegado una herramienta de exfiltración de datos identificada como ExMatter, que permitió robar fácilmente datos valiosos de sistemas comprometidos.
También lea: Microsoft acaba con botnet criminal ZLoader e identifica a perpetrador
Según Silkn, está diseñada para recopilar tipos de archivos específicos y cargarlos en los servidores de los ciberdelincuentes antes de que se implemente el ransomware de cifrado de archivos. Los datos robados suelen ser usados para presionar el pago de la víctima.
Ruiz señaló que su equipo coincide con analistas del sector en que “hay vínculos entre BlackCat y las operaciones de ransomware de los grupos cibercriminales BlackMatter y DarkSide”. Actualmente, se presume que estos últimos han dejado de operar.
BlackMatter fue la nueva marca con la que se autonombró el grupo criminal DarkSide, que atacó el oleoducto Colonial Pipeline, en mayo de 2021 y que paralizó el suministro de combustible de la costa este de Estados Unidos.
“El uso de lenguajes de programación inusuales (como Rust), así como la capacidad de mantener una infraestructura organizacional con enfoque cibercriminal convierten a BlackCat en un jugador importante en el sector del ransomware”, comentó el fundador de Silkn.
Víctimas de BlackCat en todo el mundo
De acuerdo con la startup de ciberseguridad, una de las víctimas más recientes en América Latina es Transportadora de Gas del Sur (TGS), una compañía argentina que se dedica al transporte, procesamiento y almacenamiento de gas natural, así como a la producción y comercialización de líquidos provenientes del mismo. Por otro lado, actúa en el sector de las telecomunicaciones a través de su filial Telcosur.
BlackCat se utilizó en enero de 2022 contra dos compañías petroleras internacionales con sede en Alemania, Oiltanking y Mabanaft.
“El ataque tuvo poco impacto en los clientes finales, pero sirve para recordar a la comunidad de ciberseguridad el potencial de los cibercriminales para dirigir ataques contra la infraestructura crítica a nivel mundial”, explicó Ruiz.
