BlackMatter es un grupo cibercriminal que opera bajo el modelo de ransomware como servicio (RaaS) y de acuerdo con analistas del sector se trata de una banda que busca ocupar el lugar que dejaron vacante otras bandas cibercriminales de cierto renombre: DarkSide y REvil. Además, se ha encontrado que BlackMatter está haciendo uso de las mejores herramientas y técnicas de los grupos cibercriminales antes mencionados, así como de LockBit 2.0.
DarkSide confirmó el cierre de sus operaciones, después de que su grupo de afiliados de RaaS atacaran Colonial Pipeline, el oleoducto más grande de Estados Unidos, en un ataque importante a principios de 2021, lo que provocó la interrupción de la cadena de suministro. Y casi al mismo tiempo que sus servidores fueron incautados, sus billeteras de criptomonedas se vaciaron.
Por otra parte, REvil, el grupo vinculado al ataque del proveedor de servicios administrados Kaseya, también desapareció de Internet poco después. Varias páginas web operadas por REvil desaparecieron repentinamente y dejaron de estar operativas, incluso dejó de funcionar la plataforma que utilizaban para gestionar y negociar los pagos de los rescates de sus víctimas.
De acuerdo con la unidad de investigación de SILIKN, el grupo ha publicado los datos robados de varias organizaciones en su sitio de filtración. Entre las empresas afectadas se encuentran: LA-Martiniquaise, BCP Securities, CasagrandeGroup, EQUITY Inc., Actief-Jobmade, Pramer, Citrocasa GmbH, Ellerboeck, Eisvogel, Pulmuone Co., Ltd., Trust Capital Funding, Bumper to Bumper Autoparts, Modern Testing Services, River City Construction, northwoods & spectrumfurniture, Diamond Schmitt, g-able.com, Middleton Reutlinger, tastefulselections & WFG, Kaydon Corporation (SKF Group Brand), Pine Labs Pvt, Network Telecom / Enreach y hhcp.com, entre otras, empresas ubicadas en Estados Unidos, Brasil, Canadá, Australia, Tailandia, Reino Unido, India y Chile.
De acuerdo con el sitio web de BlackMatter, el grupo no ataca hospitales, instalaciones de infraestructura crítica (como centrales nucleares, centrales eléctricas, instalaciones de tratamiento de agua), industria de petróleo y gas (oleoductos, refinerías de petróleo), industria de defensa, empresas sin ánimo de lucro y sector gubernamental. Incluso mencionan que si la víctima pertenece a alguno de los sectores antes mencionados, puede solicitar gratis la herramienta de descifrado.
Un punto importante a señalar es que la actividad del grupo cibercriminal se ha mantenido en aumento:
- El 8 de septiembre de 2021, el gigante tecnológico japonés Olympus detectó una actividad sospechosa en sus sistemas de tecnología de la región de Europa, Medio Oriente y África (EMEA), por lo que movilizó de inmediato un equipo de respuesta especializado que incluía expertos forenses. Según las mismas fuentes, el incidente ha sido el resultado de un ataque de ransomware de BlackMatter.
- El 15 de septiembre de 2021, BlackMatter publicó en su sitio el siguiente mensaje: «Actualizaciones de las reglas de almacenamiento de datos» “Estimadas empresas, ahora almacenamos sus datos en nuestros servidores TOR. No hay más enlaces como mega.nz y etc. No podrá borrar los datos. Recomendamos pagar un rescate, de lo contrario, la competencia o los piratas informáticos descargarán sus datos. Ahora nuestro blog tiene alrededor de 10,000 visitas por día”.
- El 21 de septiembre de 2021 se dio a conocer que BlackMatter atacó días atrás a New Cooperative, un proveedor de servicios agrícolas de Iowa, Estados Unidos. BlackMatter bloqueó los sistemas informáticos y exigieron un rescate de $5.9 millones de dólares para proporcionarles el descifrador. En la sección de consultas de su sitio web, BlackMatter enumera explícitamente una serie de objetivos de infraestructura crítica que no deben ser el objetivo de sus operaciones maliciosas. No obstante, una organización del tamaño de New Cooperative podría muy bien clasificarse como infraestructura crítica (de hecho es un objetivo de infraestructura crítica clave para el suministro de alimentos de Estados Unidos). Si ese es el caso, este ataque podría tener consecuencias importantes y desatar algunos otros con objetivos similares. Recordemos: finalmente se trata de un grupo cibercriminal y los criminales no tienen palabra de honor.
BlackMatter es un riesgo latente para México y América Latina
Con una amenaza tan lucrativa como el ransomware, donde los atacantes pueden permitirse tomarse semanas o meses para pasar a la clandestinidad y reagruparse, los funcionarios mexicanos tendrán que trabajar aún más duro para adelantarse al juego.
En este mismo sentido, el lunes 20 de septiembre de 2021 se dio a conocer un ciberataque contra el sitio web de El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), lo cual dejó expuesto que sus sistemas son vulnerables por estar desactualizados.
El INAI se suma así a las diversas instituciones gubernamentales que se han tenido que enfrentar a algún ciberataque en lo que va del sexenio de Andrés Manuel López Obrador.
Si bien BlackMatter “ha declarado” que no atacará dependencias gubernamentales, es momento para que el gobierno haga caso de las alertas mundiales y ejecute, a la brevedad, las actualizaciones y refuerzos que sus sistemas tecnológicos requieren. Más aún cuando se pronostica que las próximas víctimas de BlackMatter estarán ubicadas en países de América Latina.
Por Víctor Ruiz, fundador de SILIKN