El grupo de ransomware 'ALPHV' se atribuye la responsabilidad del ataque de ciberseguridad de MGM en una publicación en la web oscura
El ransomware sigue siendo una amenaza persistente para las organizaciones de todo el mundo, con un aumento continuo tanto en la frecuencia como en la complejidad de los ataques. Entre los actores destacados en el panorama del ransomware, el grupo ALPHA SPIDER ha atraído la atención por su participación en una serie de recientes ataques de alto perfil dirigidos a entidades notables como el procesador de software de pago sanitario estadounidense Change y el gigante de la industria del juego MGM. Reconociendo la importante amenaza que representaba ALPHA SPIDER debido a su amplia presencia en el ciberespacio, el Departamento de Justicia de los Estados Unidos inició una operación internacional de aplicación de la ley destinada a interrumpir las operaciones de ALPHV (también conocido como BlackCat), complementada con un aviso detallado de CISA en el marco de la iniciativa #StopRansomware.
Detección de ataques de ransomware ALPHA SPIDER (también conocido como ALPHV, BlackCat)
Desde su aparición a principios de la década de 2020, ALPHA SPIDER se ha posicionado rápidamente como un proveedor líder de ransomware como servicio (RaaS), llamando la atención con su orientación a víctimas de alto valor, sus sofisticadas capacidades de ataque y sus atractivas ofertas para los afiliados. Para contrarrestar eficazmente los posibles ataques ALPHA SPIDER, los defensores de la ciberseguridad necesitan herramientas avanzadas de detección y búsqueda de amenazas equipadas con algoritmos de detección personalizados que aborden las tácticas, técnicas y procedimientos (TTP) de los adversarios. La plataforma SOC Prime ofrece un conjunto seleccionado de reglas Sigma compatibles con 28 tecnologías SIEM, EDR, XDR y Data Lake, lo que permite la identificación de actividades maliciosas asociadas con el ransomware ALPHA SPIDER. Al aprovechar estas reglas de detección, las organizaciones pueden defenderse de forma proactiva contra las amenazas en evolución planteadas por ALPHA SPIDER y adversarios similares.
Análisis del ataque de ransomware ALPHV/BlackCat
Las actividades maliciosas de los operadores de ransomware ALPHV (BlackCat, ALPHA SPIDER) han sido objeto de un intenso escrutinio desde finales de 2021, ya que siguen dirigiéndose a diversos sectores de la industria al tiempo que mejoran constantemente su arsenal de técnicas de ataque. En particular, BlackCat representa la evolución de bandas de ransomware anteriores como DarkSide y BlackMatter, lo que significa un mayor nivel de sofisticación y experiencia entre sus afiliados. Durante el último año, los actores de ALPHV han introducido tácticas novedosas y métodos innovadores para aumentar sus operaciones de ransomware.
ALPHV/BlackCat se distingue por su uso del lenguaje de programación Rust y su provisión de un conjunto completo de capacidades diseñadas para atraer afiliados avanzados. Estas capacidades incluyen variantes de ransomware compatibles con múltiples sistemas operativos, técnicas de evasión personalizables, una base de datos web clara y con capacidad de búsqueda, un sitio de fugas dedicado y la integración de un mezclador de Bitcoin en los paneles de afiliados. Una investigación reciente reveló la utilización de las versiones de Linux de Cobalt Strike y SystemBC por parte de los operadores de ALPHV para realizar un reconocimiento de los servidores VMware ESXi antes de iniciar la implementación de ransomware.
El amplio impacto de los ataques ALPHV/BlackCat ha sido evidente en incidentes que involucran a organizaciones importantes como MGM Resorts y Change Healthcare, lo que ha resultado en interrupciones significativas del servicio y pérdidas financieras. Los atacantes explotan las vulnerabilidades conocidas, incluidas CVE-2021-44529 y CVE-2021-40347, para el acceso inicial y la persistencia dentro de las redes objetivo, seguidas de actividades de reconocimiento mediante Nmap y análisis de vulnerabilidades dirigidos. Además, los adversarios de ALPHV han intentado explotar la vulnerabilidad CVE-2021-21972 y han aprovechado la herramienta de copia de seguridad de Veeam para extraer credenciales de las bases de datos de Veeam.
Dado el creciente panorama de amenazas de ransomware, la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos de EE. UU. ha emitido una notificación de incidente de ciberseguridad que aborda el incidente que afecta a Change Healthcare y otras entidades de atención médica. Esto subraya la necesidad urgente de mejorar las medidas de ciberseguridad en el sector sanitario, que ha experimentado un aumento significativo de los ataques de ransomware en los últimos años. Para combatir eficazmente las amenazas de ransomware, las organizaciones pueden aprovechar las soluciones de detección avanzadas, como Attack Detective, que proporcionan una visibilidad completa de las superficies de ataque y emplean algoritmos de detección basados en el comportamiento adaptados a entornos de seguridad específicos.
En resumen, el ransomware ALPHA SPIDER plantea un desafío formidable para las organizaciones de diversas industrias, lo que requiere estrategias defensivas sólidas y medidas de seguridad proactivas. Al mantenerse alerta y aprovechar las tecnologías de ciberseguridad de vanguardia, las organizaciones pueden mitigar el riesgo que representa ALPHA SPIDER y salvaguardar sus activos digitales contra las amenazas de ransomware.