La empresa israelí de ciberseguridad, Sygnia, reveló nuevos detalles sobre un grupo de hackers conocidos como BlackCat. Activo por primera vez en noviembre de 2021, el grupo se enfoca en atacar a organizaciones multinacionales y de alto perfil en varios sectores. Sygnia investigó esta actividad sospechosa en la red de BlackCat, que finalmente se identificó como un ataque de extorsión financiera que incluyó una filtración masiva de información.
El equipo de Sygnia, liderado por Oren Biederman, un experto senior en detección y respuesta a incidentes cibernéticos, proporciona una descripción detallada y paso a paso de todas las acciones realizadas por el grupo BlackCat durante un ataque a un cliente. Los investigadores también brindan consejos para las organizaciones y empresas sobre cómo defenderse anticipadamente contra ataques similares. Esto se basa en la actividad defensiva llevada a cabo para un cliente de Sygnia que fue atacado por BlackCat en 2023.
Al igual que otros grupos de hackers, BlackCat utiliza un modelo de negocio de Ransomware como Servicio, que permite a sus socios aprovechar sus herramientas e infraestructura para ataques de extorsión.
La investigación preliminar de Sygnia reveló indicios de un posible ataque de ransomware que podría resultar en la encriptación de toda la información corporativa. Finalmente, el ciberataque fue detenido mediante acciones inmediatas llevadas a cabo por el equipo de IT del cliente, principalmente bloqueando todo el tráfico de entrada y salida hacia y desde los activos de red centrales.
Dado que los hackers no lograron ejecutar completamente el ataque ni borrar ninguna evidencia dentro de la red, la extensa investigación de Sygnia arrojó hallazgos únicos sobre los modos de operación, tácticas, técnicas y procedimientos (TTP) de BlackCat. En este caso, la organización afectada bloqueó el acceso a Internet desde dentro de la red intraorganizacional, pero no desde el entorno de la nube de la organización. Debido a que los dos entornos estaban vinculados a través de una ruta express de Azure, el grupo de ataque mantuvo acceso a la red de la víctima, evadiendo el firewall corporativo.
El CEO de Sygnia comparte consejos prácticos para evitar ciberataques
Biederman compartió la actividad reciente de Sygnia y declaró "Hemos identificado una tendencia de atacar a grandes empresas mediante el ataque a terceros con una seguridad menos fuerte. Esta tendencia ilustra lo crítico que es para las empresas mapear cuidadosamente las conexiones de red con sus proveedores y limitar el acceso a los proveedores al mínimo requerido.
Las organizaciones deben tener un plan predefinido para mitigar los ataques de ransomware. En este caso, la amenaza no pudo cifrar la red, ya que la víctima estuvo dispuesta a bloquear inmediatamente el acceso a Internet como medida de mitigación. No hay duda de que bloquear la conectividad a Internet de grandes redes es una tarea desafiante para los gestores de redes, quienes al mismo tiempo deben preservar la continuidad del negocio de la empresa, pero un esfuerzo constante en esta dirección puede marcar la diferencia."