Blackcat Ransomware
Sin categoría

En 2023, el mundo cibernético ha sido testigo de la ascensión del ransomware BlackCat, también conocido como ALPHV. Este artículo proporciona un análisis exhaustivo de los IOCs asociados, los grupos de amenazas que lo utilizan, y sus TTPs, ofreciendo una perspectiva crucial para profesionales de seguridad y empresas por igual.

Introducción

En el panorama cambiante de la ciberseguridad, el ransomware BlackCat ha emergido como una amenaza significativa en 2023. Con su capacidad para encriptar sistemas de archivos y extorsionar a las víctimas para obtener rescates, BlackCat ha capturado la atención de expertos en seguridad y organizaciones en todo el mundo.

¿Qué es BlackCat Ransomware?

BlackCat, también identificado como ALPHV, es un tipo avanzado de ransomware que utiliza algoritmos sofisticados para cifrar archivos. Se distribuye principalmente a través de campañas de phishing y explota vulnerabilidades en redes empresariales.

Indicadores de Compromiso (IOCs)

Los IOCs son cruciales para identificar y mitigar ataques de ransomware. Algunos IOCs asociados con BlackCat incluyen:

Direcciones IP sospechosas:

C2 IPs: 

C2 IPs:    
89.44.9.243142.234.157.24645.134.20.66 185.220.102.253
37.120.238.58 152.89.247.207198.144.121.9389.163.252.230
45.153.160.14023.106.223.97139.60.161.161146.0.77.15
94.232.41.155   

Hashes de archivos maliciosos:

 Batch Scripts
Nombre de archivo MD5 Hash
CheckVuln.bat f5ef5142f044b94ac5010fd883c09aa7
Create-share-RunAsAdmin.bat 84e3b5fe3863d25bb72e25b10760e861
LPE-Exploit-RunAsUser.bat 9f2309285e8a8471fce7330fcade8619
RCE-Exploit-RunAsUser.bat 6c6c46bdac6713c94debbd454d34efd9
est.bat e7ee8ea6fb7530d1d904cdb2d9745899
runav.bat 815bb1b0c5f0f35f064c55a1b640fca5
 DLLs y Ejecutables
Nombre de archivo MD5 Hash
http_x64.exe 6c2874169fdfb30846fe7ffe34635bdb
spider.dll 20855475d20d252dda21287264a6d860
spider_32.dll 82db4c04f5dcda3bfcd75357adf98228
powershell.dll fcf3a6eeb9f836315954dae03459716d
rpcdump.exe 91625f7f5d590534949ebe08cc728380
Nombre de archivo SHA1 Hash
mimikatz.exe d241df7b9d2ec0b8194751cd5ce153e27cc40fa4
run.exe 4831c1b113df21360ef68c450b5fca278d08fae2
zakrep_plink.exe fce13da5592e9e120777d82d27e06ed2b44918cf
beacon.exe 3f85f03d33b9fe25bcfac611182da4ab7f06a442
win1999.exe 37178dfaccbc371a04133d26a55127cf4d4382f8
[compromised company].exe 1b2a30776df64fbd7299bd588e21573891dcecbe
 Archivos adicionales observados
test.exe xxx.exe
Mim.exe xxxw.exe
crackmapexec.exe Services.exe
plink.exe Systems.exe
PsExec64.exe 
BlackCat Ransomware SHA256 Hashes:
731adcf2d7fb61a8335e23dbee2436249e5d5753977ec465754c6b699e9bf161
f837f1cd60e9941aa60f7be50a8f2aaaac380f560db8ee001408f35c1b7a97cb
731adcf2d7fb61a8335e23dbee2436249e5d5753977ec465754c6b699e9bf161
80dd44226f60ba5403745ba9d18490eb8ca12dbc9be0a317dd2b692ec041da28

Informe de donde se obtuvieron los datos: CISA/FBI

Actores y TTPs

Los actores detrás de BlackCat son grupos ciberdelincuentes sofisticados, conocidos por su habilidad en encriptar archivos y negociar rescates. Sus TTPs incluyen:

Técnicas de Evasión: Utilizan técnicas avanzadas para evitar la detección, como el cifrado de comunicaciones y el borrado de rastros.

Explotación de Vulnerabilidades: Aprovechan las vulnerabilidades en sistemas y redes para infiltrarse en las organizaciones.

Negociación de Rescates: Tienen métodos efectivos para negociar y recibir pagos de rescate, a menudo en criptomonedas.

Conclusión

El ransomware BlackCat representa una amenaza seria para la seguridad cibernética en 2023. Es imperativo que las organizaciones estén atentas a los IOCs mencionados y adopten medidas proactivas para protegerse. La colaboración y el intercambio de información entre empresas y profesionales de seguridad son esenciales para combatir esta y otras amenazas cibernéticas. En Simodef luchamos para asegurar la defensa de nuestros clientes a este tipo de ciberataques.

Tags:

No responses yet

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *