Seguido un patrón constante en los últimos meses, se ha detectado a un grupo de ransomware que ataca a grandes organizaciones con un malware llamado "BlackCat". Sophos advierte que este mallware, irrumpe en las redes empresariales aprovechando las vulnerabilidades de los dispositivos firewall/VPN, continuando hacia los sistemas internos después de establecer un punto de apoyo desde el firewall.
BlackCat es un malware, que mediante un grupo de ransamware, viene atacando grandes compañías. Desde el 2021, Sophos ha reportado al menos cinco ataques relacionados con este ransomware, donde en dos de los casos, los atacantes hicieron su acceso inicial a la red del objetivo, explotando una vulnerabilidad que se reveló por primera vez en 2018, de esta manera afectaron a un producto particular del proveedor de firewall. En otros dos casos, los atacantes apuntaron al producto de un proveedor de firewall diferente con una vulnerabilidad que se reveló el año pasado.
De estos casos ya explicados, excepto en uno, las debilidades permiten a los atacantes obtener las credenciales de la VPN de la memoria de los dispositivos del firewall, que luego la usaron para iniciar una nueva sesión autorizada en la VPN. Ninguno de los objetivos utilizó la autenticación multifactor para estas VPN, y el único caso mencionado acá podría haber sido un ataque de spear phishing que mostró a los atacantes las credenciales para iniciar sesión de un usuario interno.
Una vez dentro de la red, los atacantes utilizaron predominantemente RDP (Remote Desktop Protocol) para moverse lateralmente entre los ordenadores, realizando ataques de fuerza bruta a través de la conexión VPN contra la cuenta de administrador en las máquinas dentro de la red. El ejecutable del ransomware tiene la funcionalidad de propagarse lateralmente a las máquinas Windows, así como capacidades específicas pueden atacar a los servidores del hipervisor VMware ESXi )un programa de virtualización a nivel de centro de datos
En un caso, cuando el personal de respuesta a incidentes de Sophos eliminó las cuentas VPN comprometidas del firewall y creó nuevas combinaciones de nombre de usuario y contraseña, el atacante simplemente ejecutó el mismo exploit una segunda vez y fue capaz de extraer las contraseñas recién creadas que se estaban utilizando en la respuesta a incidentes, y seguir intentando cifrar las máquinas.
La investigación de estos casos se complicó porque las empresas atacadas ejecutaban servidores que habían sido comprometidos anteriormente utilizando la vulnerabilidad Log4j.
Parece ser muy común en estos ataques de ransomware en este año 2022, donde los atacantes crean un binario de ransomware personalizado para cada objetivo. El ejecutable contenía la nota de rescate personalizada para cada organización objetivo con un enlace al servidor TOR de BlackCat donde los actores de la amenaza publicaban ejemplos de datos robados.
Durante la investigación, Sophos descubrió que más de la mitad de los ordenadores de la organización ejecutaban Windows 7, para el que Microsoft dejó de dar soporte en los fallos de los firewalls que eran antiguos. Si se hubieran aplicado los parches disponibles para estos firewalls de manera más oportuna, las cosas habrían sido mucho más complicadas para los atacantes.
Ninguno de los objetivos utilizó la autenticación multifactor para sus inicios de sesión en la VPN, lo que habría detenido a los atacantes en seco.
Los IOC relacionados con las herramientas utilizadas en este ataque están publicados en el Github de SophosLabs, con la excepción de los hashes de los archivos del propio ransomware, que podrían identificar los objetivos.
