RANSOMWARE BLACKMATTER, LA PRÓXIMA AMENAZA PARA EMPRESAS EN LATINOAMÉRICA SEGÚN EL FBI. ¿CÓMO PROTEGERSE DE UN ATAQUE?

En un aviso conjunto, la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA), el Buró Federal de Investigaciones (FBI) y la Agencia de Seguridad Nacional de E.U. (NSA) recomendaron a organizaciones públicas y privadas incrementar sus medidas de seguridad ante la aparición de una operación maliciosa utilizando el peligroso ransomware DarkSide.

Esta fue una de las operaciones de ransomware como servicio (RaaS) más peligrosas hasta su repentina desaparición en julio de 2021, aunque ahora parece haberse reagrupado bajo el nuevo nombre BlackMatter, empleando una muestra de ransomware idéntica a la anterior.

Según los reportes, BlackMatter comenzó a operar poco antes de la desaparición de DarkSide, apuntando principalmente contra compañías en la industria alimenticia en E.U., aunque también se detectó un ataque de BlackMatter en Japón, específicamente contra la compañía tecnológica Olympus.

Los investigadores lograron analizar una muestra del ransomware en un entorno sandbox, descubriendo que esta variante de malware usa credenciales de administrador o usuario integradas previamente comprometidas y recursos como NtQuerySystemInformation y EnumServicesStatusExW para enumerar los procesos y servicios en ejecución del sistema objetivo.

El ransomware BlackMatter también utiliza las credenciales incrustadas y el protocolo SMB para el cifrado remoto de todos los contenidos compartidos descubiertos, incluidos ADMIN $, C $, SYSVOL y NETLOGON.

Las agencias enlistaron un conjunto de consejos para mitigar potenciales ataques, además de detallar las características más importantes de esta campaña maliciosa: “Las mitigaciones basadas en red, como el límite de acceso a recursos y la implementación de segmentaciones de seguridad y el monitoreo transversal pueden evitar que los actores de amenazas obtengan persistencia en los sistemas afectados”, señala el reporte.

En el reporte también se recomienda eliminar el acceso innecesario a los recursos compartidos administrativos, especialmente ADMIN $ y C $, además de usar un firewall basado en host para permitir solo las conexiones a los recursos compartidos administrativos a través de SMB desde un conjunto limitado de máquinas de administrador.

Leave a Reply

Your email address will not be published.