BianLian, Grandoreiro, LockBit 3.0, BlackByte son cuatro amenazas digitales que están creciendo y vulnerando a empresas en todo el mundo y se presentan como los mayores retos para el sector de ciberseguridad antes de que finalice el año.
BianLian: incrementa su presencia
Grupos ciberdelincuentes están implementando una variante de ransomware emergente llamada BianLian que fue escrita en Go, el lenguaje de programación de código abierto creado por Google. BianLian ha ido aumentando en utilización desde que surgió en julio de 2022. Los delincuentes han lanzado ataques con esta variante contra empresas del sector de medios y entretenimiento; manufactura; energía, instituciones académicas; cuidado de la salud; así como banca, servicios financieros y aseguradoras. BianLian funciona de manera similar a otros tipos de ransomware en el sentido de que cifra los archivos una vez que infecta un sistema objetivo y envía una nota de ransomware a sus víctimas para informarles cómo contactar a los operadores.
Grandoreiro: ataque a empresas mexicanas
Recientemente fueron identificados varios ataques del troyano bancario, Grandoreiro, dirigida a organizaciones en México y España, del sector automotriz e industria química, industria de la construcción, sector de maquinaria y servicios de logística y transporte, entre otros. En estos ataques, los delincuentes han usurpado la identidad de funcionarios gubernamentales de la Procuraduría General de Justicia de la Ciudad de México y del Ministerio Público en forma de correos electrónicos de spear-phishing, con el fin de atraer a las víctimas para que descarguen y ejecuten el troyano Grandoreiro, activo desde 2016, y que apunta específicamente a usuarios en América Latina. La cadena de infección comienza con un mensaje de spear-phishing escrito en español que incluye un enlace que apunta a un sitio web que luego descarga un archivo ZIP malicioso en la máquina de la víctima. Los mensajes utilizan como señuelos las devoluciones de pagos, las notificaciones de litigios, la cancelación de préstamos hipotecarios y los comprobantes de depósito.
LockBit 3.0: intensifica sus ataques
LockBit 3.0, cuya presencia se detectó en junio de 2022, coincidió con un gran aumento de víctimas publicadas en el sitio de fugas de LockBit, lo que indica que los últimos meses han mostrado una intensa actividad para el colectivo LockBit. A raíz de la aparente desaparición del grupo de ransomware CONTI , al parecer los operadores de LockBit buscan ocupar su sitio, mediante el lanzamiento de ataques de encriptación y exfiltración de datos contra organizaciones de todo el mundo. LockBit 3.0 ejecuta un acceso inicial a través de SocGholish; establece persistencia para ejecutar Cobalt Strike; desactiva Windows Defender y Sophos; usa herramientas de recopilación de información como Bloodhound y Seatbelt; aplica movimientos laterales aprovechando RDP y Cobalt Strike; usa 7zip para recopilar datos para la exfiltración; utiliza Cobalt Strike como Comando y Control; exfiltra datos en Mega, y usa PsExec para lanzar ransomware.
El regreso de BlackByte
El grupo de ransomware BlackByte, que está vinculado con CONTI, ha resurgido después de una pausa, con una nueva presencia en las redes sociales como Twitter y nuevos métodos de extorsión tomados de LockBit 3.0. BlackByte está utilizando varios identificadores de Twitter para promover la estrategia actualizada de extorsión, el sitio de filtraciones y las subastas de datos. El nuevo esquema permite a las víctimas pagar para extender la publicación de sus datos robados por 24 horas (a un costo de $5,000 dólares); descargar los datos (con costo de $200,000 dólares), o destruir todos los datos (con costo de $300,000 dólares), estrategia en la que el grupo LockBit 3.0 ya fue pionero. Es posible que BlackByte esté tratando de obtener una ventaja competitiva o de llamar la atención de los medios para reclutar y hacer crecer sus operaciones. BlackByte está atacando grandes objetivos, incluidos aquellos de infraestructura crítica, como servicios de energía, agua potable, alimentos, servicios, entre otros.
Por: Víctor Ruiz, fundador de SILIKN e instructor certificado en ciberseguridad — CSCT.
Nota relacionada: Detectan troyano bancario Casbaniero dirigido a mexicanos
Nota relacionada: BlueSky Ransomware: la nueva amenaza de secuestro de datos