Metabase Q reveló que más de 40 organizaciones han sido vulneradas por BlackCat en México, que es uno de los países más afectados por este ransomware en América Latina, donde se ha convertido en una amenaza real.
En un comunicado, la plataforma end-to-end de ciberseguridad dio detalles de una investigación en la que detectó que el grupo criminal ruso sumó dos tipos de extorsión adicionales: ataques de denegación y la indexación abierta al público de toda aquella información robada.
La firma, quien en julio pasado explicó cómo opera el programa de membresía RaaS, indicó que los ciberataques en el país han ocurrido principalmente en Ciudad de México, Guanajuato, Chihuahua, Nuevo León, Jalisco y el Estado de México.
Las seis entidades coinciden con los primeros reportes de Blackcat hechos por la startup de ciberseguridad Silikin, que en abril pasado indicó que al menos 12 empresas del sector industrial y manufacturero habían sido las atacadas por el ransomware.
Según datos de Metabase Q, otras industrias a las que se han dirigido son financiera, energía, tecnología, construcción, farmacéutica, e incluso gubernamental.
Si pagan rescate, habrá más ataques
La última empresa mexicana conocida fue atacada el pasado 24 de mayo. La firma sospecha que se pagó el rescate ya que el grupo de ransomware filtró el contenido y poco después lo retiró.
ALPHV, explicó la plataforma, solicita montos que superan los $2.5 millones de dólares, un precio aún mayor. El CEO de Metabase Q, Mauricio Benavides, advirtió que “si empresas mexicanas pagan por el rescate, nos llevará a ser blanco de más y más grupos similares”.
El pago promedio de ransomware aumentó 82% entre 2020 y 2021 y este año los precios volvieron a incrementarse.
Actualmente, explicó la plataforma, aquellas empresas que han sido atacadas y pagan el rescate a tiempo, no han sido expuestas por estos grupos de ransomware. Por ello, al momento no es posible conocer el número real de víctimas de este ciberdelito.
¿Quién es John Watters y por qué Metabase Q lo incluyó en su Junta Directiva?
Empleados, un aliado de un ataque de ALPHV
Metabase Q descubrió que para llevar a cabo un ataque con ALPHV se ayuda de un “asociado”, que probablemente es un colaborador, con conocimiento de un punto de acceso a la infraestructura de la organización objetivo para facilitar el ataque.
Los grupos de ransomware, detalló, usan un esquema de negocio con el asociado, que puede ser desde un especialista con nivel técnico alto que cuente con accesos de alguna empresa, obtenidos de manera ilegal y pueda ofrecerlos, o bien un empleado descontento que cuenta con acceso a la infraestructura y puede ser usado como el primer escalón de un ataque.
La firma dijo que con esto logran evadir las soluciones basadas en muestras o infraestructura identificada como maliciosa.
BlackCat en México tiene nivel técnico elevado
El grupo ruso ALPHV/Blackcat es el creador del ransomware que colapsó en mayo de 2021 al sistema de gasoductos en los Estados Unidos.
Metabase Q señaló que a pesar de que compite con otros grupos de ransomware, como CONTI y LOCKBIT 3.0, siempre busca innovar con nuevos mecanismos para garantizar el éxito de la extorsión y por ende el pago del rescate.
Además, el nivel técnico de quien está detrás del desarrollo del malware es elevado, ya que es el primer grupo de ransomware que diseña sus piezas de malware en RUST (lenguaje de programación sofisticado) y cuenta con mecanismos para evadir las detecciones por distintas soluciones de seguridad avanzadas.