¿Qué sabemos de BlackByte y por qué sigue siendo un peligro para las dependencias de gobierno y organizaciones en México?
Imagen: Zdzisław Beksiński
El pasado 13 de abril, 2023, BlackByte vulneró los sistemas de la Comisión Nacional del Agua (Conagua) afectando 23 estados de la república mexicana. Los criminales presuntamente pidieron rescate para liberar archivos institucionales que secuestraron y cifraron.
A más de un mes del incidente de seguridad que afectó los equipos de Conagua, la Semarnat ha tenido que volver a prorrogar los términos y plazos de los trámites que realiza la dependencia debido a que no ha conseguido restablecer su operatividad.
La Comisión Nacional del Agua (Conagua) mantendrá al menos hasta la primera semana de junio la suspensión de todos sus trámites y procedimientos administrativos, ante la imposibilidad de operar por el hackeo a sus sistemas informáticos, registrado el 13 de abril, 2023. Con ello, el paro se prolongará algunas semanas más, luego que, inicialmente, se había previsto reanudar trámites el 24 de abril, 2023.
¿Pero qué sabemos de BlackByte y por qué sigue siendo un peligro para las dependencias de gobierno y organizaciones en México?
BlackByte ha lanzado nuevas versiones de su malware y se mantiene activo como grupo cibercriminal, por lo que es importante que las organizaciones puedan hacer un monitoreo continuo con la finalidad de detectarlo a tiempo. Este grupo es conocido por el uso del malware homónimo que se actualiza constantemente y se propaga en diferentes variantes.
Popular por haber sido el grupo que vulneró en febrero de 2022 al equipo de futbol de la NFL, 49ers de San Francisco, BlackByte ha abierto nuevos sitios de filtraciones de datos y mantiene una estrategia de publicación y rescate de varios niveles. Por ejemplo, las víctimas tienen la oportunidad de pagar para retrasar la exposición de sus datos por 24 horas por $5,000 dólares; pueden descargar sus datos por $200,000 dólares, o destruir todos los datos filtrados por $300,000 dólares, pagos que conllevan cero garantías de que quienes están detrás del ataque cumplirán sus promesas.
De igual forma, BlackByte ha lanzado una nueva versión de su malware, conocida como BlackByteNT, diseñada para atacar principalmente a la infraestructura crítica y a los grandes corporativos, pero cuyas capacidades de movimiento y dispersión también le permiten llegar hasta computadoras de usuarios finales. Este ransomware es sumamente agresivo y ha sido reportado como uno de los más peligrosos.
Al igual que otros tipos de ransomware, BlackByteNT cifra archivos con el objetivo de exigir dinero para entregar una clave de descifrado. En este caso, los criminales también amenazan con divulgar secretos corporativos mediante un aviso a la víctima de que sus archivos se están subastando en la dark web.
BlackByte NT, malware que está escrito en el lenguaje de programación C++, integra diferentes técnicas para dificultar tanto el análisis estático como dinámico del malware, ocultando el comportamiento del malware cuando se monitorea la ejecución.
La nueva versión también agrega nuevos controladores para la explotación de la vulnerabilidad “Bring Your Own Vulnerable Driver’ (BYOVD) con el fin de deshabilitar productos y herramientas de seguridad que puedan interferir con su ejecución.
BYOVD se trata de malware que encuentra un controlador vulnerable que ya está presente en una computadora con Windows. La vulnerabilidad busca un controlador firmado que no valida las llamadas a los registros específicos del modelo (MSR) y luego lo aprovecha para interactuar con el kernel de Windows, a través del controlador comprometido o usarlo para cargar un controlador sin firmar.
BlackByte comenzó a atacar a víctimas corporativas en todo el mundo en julio de 2021. Los primeros hallazgos sobre el grupo surgieron después de que las víctimas buscaran ayuda para descifrar sus archivos.
BlackByte es un grupo de ransomware con sede en Rusia que opera en un modelo de ransomware como servicio (RaaS) y aprovechan la doble extorsión para obligar a sus víctimas a pagar. En su primer año, llamaron la atención de la Oficina Federal de Investigaciones (FBI) y el Servicio Secreto de los Estados Unidos (USS). Estas agencias publicaron un aviso conjunto advirtiendo la presencia de BlackByte.
El 13 de febrero de 2022, el FBI reveló que BlackByte había accedido a la red de al menos tres organizaciones pertenecientes a los sectores de infraestructuras críticas de Estados Unidos. Más de 100 ataques detectados, en alrededor de 30 países, han sido el objetivo de los operadores de BlackByte, de los cuales Estados Unidos ha sido el blanco principal con casi la mitad de los ataques. Un punto importante es que BlackByte ha lanzado ataques contra industrias críticas y con bajo presupuesto de seguridad, para garantizar que los datos sean lo suficientemente vitales y así obtener un pago considerable.
Como la mayoría de los grupos de ransomware, BlackByte hace uso del phishing y las vulnerabilidades conocidas, como ProxyLogon, para lograr el acceso inicial. Otro aspecto importante del grupo es que su ransomware no puede filtrar datos. Por lo tanto, extraen datos antes del cifrado aprovechando WinRAR y los sitios de intercambio de archivos. También aprovechan herramientas legítimas como AnyDesk para afianzarse en las máquinas de las víctimas. Además, sus ataques recientes se basan en la explotación de los conjuntos de fallas ProxyShell y ProxyLogon en los servidores de Microsoft Exchange y utiliza herramientas como AdFind, NetScan y PowerView para moverse lateralmente.
BlackByte es uno de los grupos cibercriminales que debemos vigilar y estar preparados para enfrentarlo, ya que a pesar de que han mostrado algunas debilidades en sus variantes anteriores, se han adaptado y llevado a cabo algunos ataques contundentes que han dado como resultado grandes ingresos para este grupo delictivo.
Para más información, visite: https://www.silikn.com/