top of page

Golpear a la pandilla BlackMatter donde más duele: En la Billetera


A principios de este año, los investigadores de Emsisoft descubrieron una falla crítica en el ransomware BlackMatter que les permitió ayudar a las víctimas a recuperar sus archivos sin pagar un rescate, evitando que millones de dólares cayeran en manos de los ciberdelincuentes. El trabajo se ha realizado en silencio y en privado para no alertar a los operadores de BlackMatter sobre la falla. Por las razones que se analizan a continuación, creemos que ahora es seguro compartir la historia sin poner en peligro la operación.


Durante la última década, Emsisoft se ha dedicado a la lucha global contra el ransomware. No solo hemos creado herramientas de descifrado que han ayudado a más de 6 millones de víctimas a recuperar sus datos sin pagar un rescate, sino que también hemos creado un servicio único que ayuda a las víctimas de ransomware que pagaron rescates a recuperarse de manera más eficiente.


Durante este tiempo, hemos visto numerosas bandas de ransomware ir y venir. Las motivaciones exactas de su desaparición a menudo no están claras, pero podemos hacer algunas conjeturas bien fundamentadas.


Quizás la razón más común es la realización financiera. Los actores de amenazas ejecutan una campaña exitosa, generan suficiente dinero para que sus participantes se jubilen cómodamente y elijan cesar sus operaciones. En otras situaciones, la jubilación se trata más de autoconservación, y los actores de amenazas se retiran del juego de ransomware después de atraer demasiada atención no deseada.


Para el predecesor de BlackMatter, DarkSide, fue en gran medida un caso de este último.


Una breve historia

DarkSide había sido un actor importante en el panorama del ransomware como servicio desde agosto de 2020 y, en general, se dirigía a las grandes organizaciones del sector privado que podían pagar las demandas de rescate de siete cifras. Había sido uno de los grupos más activos hasta principios de mayo de 2021, cuando la pandilla mordió más de lo que podía masticar al atacar el sistema de oleoductos más grande para productos petroleros refinados en los EE. UU .: Colonial Pipeline. El ataque, que provocó escasez de combustible y obligó a algunas aerolíneas a reprogramar vuelos, afectó la vida cotidiana de millones de personas en la costa este, atrayendo una gran cantidad de atención de la prensa, así como la ira de las autoridades estadounidenses.


La represalia de Estados Unidos fue rápida. En cuestión de días, DarkSide había perdido el control sobre parte de su infraestructura crítica, incluidas las carteras bitcoin que contenían el rescate de $ 4,4 millones que Colonial Pipeline había pagado apresuradamente con la esperanza de volver rápidamente a un estado operativo. Sintiendo la presión, DarkSide se oscureció, hasta finales de julio de 2021.


El 21 de julio de 2021, apareció una nueva publicación realizada por la cuenta de usuario "BlackMatter" en un popular foro clandestino:


Traducción automática de una publicación publicitaria que busca acceso a redes corporativas, cortesía de nuestros amigos de Curated Intelligence

El anunciante buscaba reclutar partes que pudieran brindar acceso a las redes corporativas de empresas con ingresos anuales superiores a los $ 100,000,000. Esta es una práctica común para las operaciones de ransomware como servicio, donde los diferentes aspectos de un ataque generalmente se subcontratan a otros grupos o individuos más especializados. En este caso particular, el usuario de BlackMatter buscaba reclutar proveedores y corredores de acceso inicial.


Poco después, el 27 de julio de 2021, se hizo evidente quién era este misterioso póster y por qué estaban dispuestos a comprar acceso a las redes de la empresa cuando se descubrió un nuevo sitio de filtración en la web oscura: BlackMatter Ransomware.


Sitio web de fuga de ransomware BlackMatter

Uno de los aspectos más interesantes del sitio de filtración de BlackMatter es la lista de objetivos prohibidos que no deben ser atacados por ningún afiliado de BlackMatter. Las industrias en esta lista reflejan en gran medida las industrias que EE. UU. Designa como infraestructura crítica: las mismas industrias que metieron a DarkSide en problemas en primer lugar, y las mismas industrias que el presidente de los EE. UU., Joe Biden, declaró como prohibidas para la actividad cibernética maliciosa en una reunión privada con el presidente ruso Vladimir Putin en junio de 2021. Pero BlackMatter no tenía ni tiene intención de adherirse a sus propias reglas. Desde que se lanzó el sitio de la fuga, la pandilla ha atacado entidades de infraestructura crítica de EE. UU., Incluidas instalaciones de análisis de sangre y organizaciones en el sector de la alimentación y la agricultura.


Cuando tuvimos por primera vez en nuestras manos una carga útil real de BlackMatter el 31 de julio de 2021, los rumores iniciales de que BlackMatter podría ser un repintado de la operación DarkSide se confirmaron rápidamente. La primera versión de BlackMatter resultó ser casi idéntica a la última versión de DarkSide, con la única diferencia de pequeñas mejoras incrementales. Esta primera versión fue seguida rápidamente con múltiples iteraciones nuevas de la carga útil de BlackMatter y, en el momento de escribir este artículo, el último número de versión interna de la carga útil ha llegado a 2.0.


Repetir errores pasados

La ejecución original de DarkSide no fue perfecta. Por ejemplo, el 12 de diciembre de 2020, los investigadores de Emsisoft notaron un error que habían cometido los operadores de DarkSide que nos permitió descifrar los datos cifrados por la versión de Windows del ransomware sin la necesidad de pagar un rescate. La pandilla solucionó esta falla el 12 de enero de 2021.


La divulgación pública de la existencia de una falla en el ransomware puede alertar a los actores de la amenaza sobre su existencia, lo que hace que solucionen el problema de inmediato. En consecuencia, en el caso de las pandillas que creemos que son técnicamente sofisticadas, como DarkSide / BlackMatter, no anunciamos ni revelamos públicamente la existencia de vulnerabilidades. En cambio, comunicamos nuestras capacidades de descifrado en privado a través de una red de agencias de aplicación de la ley y partes de confianza. En nuestra opinión, este enfoque nos permite ayudar a tantas víctimas durante el mayor tiempo posible. Además, crea un incentivo para que las víctimas denuncien los incidentes de ransomware a las autoridades locales, ya que, a cambio, pueden proporcionar inteligencia crucial de terceros como nosotros, lo que evita la necesidad de que se paguen las demandas de rescate.


Al conocer los errores pasados ​​de DarkSide, nos sorprendió cuando BlackMatter introdujo un cambio en su carga útil de ransomware que nos permitió recuperar una vez más los datos de las víctimas sin la necesidad de pagar un rescate. Tan pronto como nos dimos cuenta del error de la pandilla, nos comunicamos en silencio con nuestros socios, quienes luego nos ayudaron a llegar a tantas víctimas como fuera posible antes de que pagaran el rescate de BlackMatter.


Desde entonces, hemos estado ocupados ayudando a las víctimas de BlackMatter a recuperar sus datos. Con la ayuda de las agencias de aplicación de la ley, los CERT y los socios del sector privado en varios países, pudimos llegar a numerosas víctimas, ayudándolas a evitar decenas de millones de dólares en demandas.


Sin embargo, no todo fue fácil. Uno de los mayores desafíos que enfrentamos durante la operación fue el relacionado con las redes sociales y Twitter en particular. Durante uno de los incidentes de BlackMatter de más alto perfil en septiembre de 2021, se filtró la nota de rescate. Las notas de rescate, incluidas las de BlackMatter, contienen información crítica destinada únicamente a la víctima, incluidas instrucciones sobre cómo llegar y comunicarse con el actor de la amenaza. En consecuencia, cualquiera que tenga acceso a una nota puede interactuar con la pandilla como si fuera la víctima.


La amplia comunidad de seguridad de información de Twitter se dio cuenta rápidamente de la filtración, se hizo con el enlace privado destinado solo a la víctima y comenzó a secuestrar las negociaciones que se estaban llevando a cabo en la plataforma de comunicación BlackMatter. Pronto, tanto la víctima como los operadores de BlackMatter se enfrentaron a una avalancha de insultos y comportamiento de trolling. Además, se tomaron capturas de pantalla de las conversaciones y se distribuyeron dentro de la comunidad de Twitter, lo que provocó que incluso más personas se unieran a la "diversión", lo que hizo descarrilar rápidamente cualquier tipo de recopilación de inteligencia por parte de la policía y los investigadores de seguridad en el proceso.


Verificación ampliada introducida como consecuencia de un extenso arrastre

Hemos luchado contra el ransomware durante más de diez años, por lo que comprendemos mejor que nadie la frustración que siente la comunidad de infosec hacia los actores de amenazas de ransomware. Sin embargo, por más catártico que se haya sentido lanzar improperios, BlackMatter bloqueó su plataforma y nos bloqueó a nosotros y a todos los demás en el proceso. Desafortunadamente, eso significó que una de las herramientas más valiosas que teníamos para llegar a las víctimas desapareció literalmente de la noche a la mañana, lo que llevó a víctimas perdidas que pueden haber pagado rescates innecesariamente.


El final inevitable

Al leer esta publicación, es posible que haya tenido una corazonada hacia dónde se dirigía todo esto. Después de todo, si BlackMatter no se hubiera dado cuenta de que algo andaba mal por sí solo, habríamos continuado nuestro trabajo en silencio. Pero, desafortunadamente, BlackMatter lanzó una actualización hace varias semanas que solucionó la falla que estábamos usando para ayudar a las víctimas.


Sin embargo, el hecho de que esta vulnerabilidad específica haya seguido su curso no significa que nuestro trabajo esté terminado. Si bien confiamos en que logramos llegar a muchas víctimas de BlackMatter, todavía hay algunas víctimas con las que no hemos podido contactar. Ahora estamos instando a estas víctimas a que se pongan en contacto con nosotros, ya que probablemente podamos ayudarlas a recuperar sus datos sin pagarles a los delincuentes.


Más allá de BlackMatter, nuestro equipo ha identificado vulnerabilidades en aproximadamente una docena de familias de ransomware activas. En estos casos, podemos recuperar la gran mayoría de los datos cifrados de las víctimas sin el pago de un rescate. Al igual que con BlackMatter, no publicaremos la lista de familias hasta que sus respectivos operadores hayan encontrado y solucionado la vulnerabilidad. Es por eso que alentamos a las víctimas a reportar los incidentes a las fuerzas del orden, ya que pueden dirigirlos hacia nosotros u otras compañías que puedan ayudar.


Las víctimas también pueden comunicarse con nosotros directamente para una evaluación gratuita. Incluso si no podemos ayudarlos a evitar el pago de un rescate, nuestra experiencia ganada en la batalla y nuestras herramientas de clase mundial a menudo pueden permitirles recuperarse mucho más rápido, reduciendo con frecuencia días o incluso semanas del tiempo de recuperación.


Por último, pero no menos importante, también estamos enviando una invitación abierta a todas las agencias de aplicación de la ley, instituciones gubernamentales y CERT, así como a todos los proveedores de seguros y de servicios forenses digitales y de respuesta a incidentes. Estamos ampliando constantemente nuestras capacidades y nuestra red para llegar y ayudar a más víctimas. Si está interesado en lo que podemos hacer por usted, sus clientes o incluso sus ciudadanos, no dude en contactarnos.

26 visualizaciones

Comments


Unete a nuestra lista de correo

No te pierdas ninguna actualización

Gracias por tu mensaje!

bottom of page