En los tres últimos meses, el grupo de ransomware BlackByte ha atentado contra al menos tres organizaciones pertenecientes a sectores de infraestructuras críticas. Aunque su actividad se está centrando en Estados Unidos, también está comprometiendo a empresas de otros países.
La amenaza de BlackByte empieza a ser preocupante después de ver cómo en los últimos meses ha intensificado su actividad. Según han alertado desde el FBI y el Servicio Secreto de los Estados Unidos, el grupo está especializado en RaaS (Ransomware as a Service) que se está empleando para atentar contra instalaciones gubernamentales, del sector financiero y alimentario. Para ello encripta archivos en sistemas host de Windows comprometidos, incluidos servidores físicos y virtuales.
Además de estar consiguiendo sus objetivos con infraestructuras críticas estadounidenses, recientemente acapararon aún mayor atención colándose en los servidores de los San Francisco 49ers. El equipo de la NFL, la liga nacional de fútbol americano, no desvelado cuántos datos financieros le habían sido sustraídos, o encriptados, a los que no podían acceder, ni cuánto han tenido que pagar por su restitución. En un comunicado, el club ha manifestado que tan solo sufrieron una interrupción temporal en partes de su red de TI.
BlackByte también ha dado detalles de este ciberataque, aunque sí filtraron casi 300 MB de archivos en su blog.
Cómo recuperarse de BlackByte
La operación de ransomware BlackByte ha estado activa desde, al menos, julio de 2021, cuando comenzó tener entre sus objetivos a víctimas corporativas en todo el mundo.
Poco a poco, sus acciones la han dado a conocer por explotar vulnerabilidades de software, incluido Microsoft Exchange Server, para obtener acceso a la red de sus objetivos empresariales.
El pasado mes de octubre, la firma de ciberseguridad Trustwave creó y lanzó un descifrador para BlackByte gratuito, lo que permitió a algunas víctimas restaurar sus archivos. Una herramienta desarrollada después de descubrir que este grupo utilizaba la misma clave de descifrado/cifrado en múltiples ataques.
El hecho de que BlackByte ofrezca ransomware como servicio significa que se trata de un grupo que está descentralizado, con operadores independientes que se encargan del desarrollo de malware, se encargan de los ciberataques o desempeñan otras funciones.
Sin embargo, el analista de riesgo en Emsisoft, Brett Callow, considera que el malware de BlackByte está codificado para evitar que se cifren sistemas que emplean el idioma ruso y los de otros aliados de Rusia.
Claves para mitigar ciberataques
Ante el crecimiento de la actividad de BlackByte, tanto desde el FBI como desde el Servicio Secreto de los Estados Unidos, han elaborado una lista de medidas que los CISO y otros responsables de seguridad deben tener en cuenta para mitigar estos ciberataques.
En primer lugar, debido a que los servidores están en el punto de mira, mantenerlos actualizados es crucial. Instalar actualizaciones, parches de sistemas operativos, software y firmware tan pronto como se publiquen es vital.
Asimismo, también es cada vez más imprescindible realizar copias de seguridad de forma periódica de todos los datos que se almacenan. Estas copias deben estar protegidas con contraseñas y asegurando que no se pueden acceder a ellas para modificarlas o eliminarlas desde ningún sistema donde residan los datos originales.
Implementar la segmentación de la red para que no se pueda acceder a todas las máquinas de la red desde cualquier otra máquina también es clave. Como también lo es la instalación y actualización regular del software antivirus en todos los hosts y habilitar la detección en tiempo real.
Otro aspecto a tener muy en cuenta es la necesidad de revisar los controladores de dominio, los servidores, las estaciones de trabajo y los directorios activos en busca de cuentas de usuario nuevas o no reconocidas. Auditar las cuentas de usuarios con privilegios administrativos y configurar los controles de acceso teniendo en cuenta los privilegios mínimos también será de gran ayuda. Todo esto teniendo en cuenta que es mejor no otorgar privilegios administrativos a todos los usuarios.
Aunque es muy evidente, cabe recordar que deshabilitar los puertos de acceso remoto y el protocolo de escritorio remoto (RDP) no utilizados, así como controlar los registros de acceso remoto/RDP para detectar cualquier actividad inusual es fundamental.
Los errores humanos son la puerta de entrada de gran cantidad de amenazas en las organizaciones. Por eso, puede resultar de gran ayudar añadir un banner a los correos electrónicos recibidos desde fuera de la organización para tener precaución. Pero también deshabilitar los hipervínculos en los correos electrónicos recibidos.
Utilizar la doble autenticación al iniciar sesión en cuentas o servicios también puede ser de gran ayuda para ayudar a combatir estas ciberamenazas.
Imagen inicial | Anastase Maragos
