ALPHV/BlackCat, grupo cibercriminal de ransomware como servicio, está desarrollando técnicas maliciosas utilizando palabras clave seleccionadas en páginas web, de organizaciones legítimas, para implementar malware.
En este sentido, usando técnicas de envenenamiento de SEO, ALPHV/BlackCat secuestra palabras clave para mostrar anuncios maliciosos que atraen a los usuarios desprevenidos con la finalidad que descarguen una aplicación clonada que contiene un malware y con ello los delincuentes puedan robar privilegios de administrador, establecer persistencia y tener acceso, vía una puerta trasera, a los sistemas de las víctimas utilizando herramientas de administración remota.
Un dato preocupante, es que las técnicas utilizadas por ALPHV/BlackCat están relacionadas con las ejecutadas por el grupo criminal de ransomware Cl0p contra los usuarios del popular software de transferencia de archivos MOVEit, de Progress Software, y cuyo número de víctimas se aproxima ya a las doscientas -incluyendo grandes corporativos -.
De acuerdo con un análisis de la unidad de investigación de SILIKN, México es uno de los países más atacados de la región latinoamericana por ALPHV/BlackCat, pues son más de 112 organizaciones las que han sido vulneradas, especialmente en los estados de Nuevo León, Yucatán, Chihuahua, Jalisco, Guanajuato, Ciudad de México y Estado de México. Algunas de las víctimas de ALPHV/BlackCat en México incluyen a Coca-Cola FEMSA, Gobierno del Estado de Yucatán, Grupo Estrategas EMM, Imagen Televisión, entre otras.
De igual forma, la unidad de investigación de SILIKN ha emitido una alerta, pues al menos seis dependencias de gobierno presentan vulnerabilidades contra este tipo de ataque:
- Secretaría de la Función Pública
- Centro Nacional de Control de Energía
- Instituto Nacional de Ecología y Cambio Climático
- Instituto Nacional de Migración
- Servicios de Salud de Morelos
- Comisión Nacional Forestal
- Instituto de Educación para Adultos de Tabasco
SILIKN lanzó una alerta, a principios de 2022, debido a la aparición del grupo de ransomware ALPHV/BlackCat en el país. De acuerdo con análisis efectuados, en febrero y marzo de 2022, se encontró este tipo de malware en 12 empresas del sector industrial y manufacturero de Guanajuato, Ciudad de México, Chihuahua, Nuevo León, Jalisco y Estado de México.
Es importante señalar que la habilidad en el desarrollo de malware, el uso de lenguajes de programación inusuales, como Rust, así como la capacidad de mantener una infraestructura organizacional con enfoque cibercriminal están convirtiendo al grupo ALPHV/BlackCat en un jugador importante en el sector del ransomware y, además, el hecho de que esta pandilla esté interesada en el sector industrial es algo esperado, por lo que la unidad de investigación de SILIKN estará emitiendo alertas continuamente con la finalidad de advertir a empresas y gobiernos los peligros de este ransomware.
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad y Hacking Ético.