ACTUALIZACIÓN DEL RANSOMWARE BLACKCAT

10/03/2023

BOLETÍN NRO 2023-160

Actualmente el Ransomware BlackCat continúa realizando ataques hacía entidades públicas y privadas a nivel mundial.

Servicios Afectados

• Sistemas operativos Windows

Detalles Tecnicos

CVE: ---		Severidad:   CRÍTICA
Amenaza: BlackCat		Categoría: Ransomware

BlackCat utiliza técnicas de cifrado similares a las de otros tipos de ransomware, pero también añade algunas medidas de seguridad adicionales para dificultar el descifrado de los archivos. Esto incluye el uso de dos algoritmos de cifrado diferentes y la garantía de que la clave de descifrado nunca se almacena en la misma unidad que los archivos encriptados.

Se detectó campañas asociadas al Ransomware BlackCat, aprovechando vulnerabilidades o credenciales expuestas para tener acceso a los sistemas de sus víctimas. En las redes sociales se ha difundido información sobre ataques a organizaciones de Latinoamérica. 

Para más información sobre el modus operandi de BlackCat, ver los boletines más recientes:

Boletín SecureSoft-Nro. 2023-126

Boletín SecureSoft-Nro. 2023-001

Boletín SecureSoft-Nro. 2022-732

Indicadores de Compromiso

IP

185[.]23[.]214[.]41

170[.]64[.]160[.]99

23[.]146[.]240[.]250

185[.]224[.]128[.]230

193[.]32[.]126[.]155

Hash

MD5: 591a72097e280ad1fd07cc5d0b81b180

SHA-256: 5165cd61158a14ba2f90c275d29d8271b1f0c5669ebcdc620edd86ee90474dbc

MD5: a7066d859ebbb72dbf7e389315af602a

SHA-256: 6253659a160638bb4622dcf28a4f0e0474129794827de68bc276bc4b29e0addf

MD5: 9ca7bea6e8a1af2dd7e60f78364dad90

SHA-256: 86ccc74375405ef5a86bb26071ec345d3d800438d1e0caa4a6d0cb43bd8562df

MD5: 77fd14244905a1863ff66ff6b050ea5c

SHA-256: 4055913adfd41d436b35e7a74ef8852c53ce76f41bbb9a7fe372f07b6fac9421

MD5: d66b790105da558bd9a1d8308260f71f

SHA-256: 5375c6badc0e24095c786a25001cc74a365c885c8d43921e68ed6ba9c13b2479

MD5: ed3124c9f9c0f2dca902c5c8e5af3829

SHA-256: 85cbb754f0d531dc7276dcee5567a27923f725ce468b0e1a3426839e12d793c2

MD5: f56fea67c5660c327f93c18c6b1a532e

SHA-256: af403adf11009a5d0e48f638fdd78cdb72d890891c8a51a8b5b7c37c7ec628ae

MD5: 4d1b73a71e61926da57b152e2f9fdedf

SHA-256: b19d4dd5c2ee006378237971ba646f24d209abad0612d6dfbabd99ba81f41749

MD5: a1adf387a032b237dbe56ceb0039046a

SHA-256: 048a49744d048d96889885642c985d4bdd8bc1494cb4d6813f068a06a8ca0567

MD5: 383dbda3aee2925707adf7382b070c0b

SHA-256: 0b2900bd66bf2c5e019e29501e6bcff425ce35b41d25db9ee6ffa042ae9238ed

MD5: 1833b802bbca4eaf78c8cdff53a5f9b4

SHA-256: 5e7ad80a44f0e1be3d693640e5ac7c2d38e01987dc97937dc7e7d14f243e9faa

MD5: 534230a6057cedf361c456def44f5f8c

SHA-256: a41a4532191751fefd7ea0f42290e9a8761e510efbf81710dd10568c4446420b

MD5: e1f87e97fca178cb44049bec632af130

SHA-256: aba1639c22467782c13a6dbe25c7b79e75b40ab440b7b54454ae9bc54dd6ae51

MD5: a689092d90ae483b891fc7b49d43d87d

SHA-256: b2411b389b4b03dadec2798b7b1df6d4a4e722fb63f0253603df4413c6923901

MD5: 96c38dc2e104811d53cb31a471ecde1d

SHA-256: fc677392069a56bdee15639cd01871ad4bab915e9c27d8a4b4954cff2135fa15

MD5: e864260c84b434bbdb0f544a9a79ec75

SHA-256: 3d457b11a195ea28d5ce30afa350c5e718302a310da4eb0746406dba270f55b3

MD5: ccb7e9a00696a32935a518008344a971

SHA-256: 08d20380065fff4a9083b1fb53974b1836d4c8de38f4cf8cca0f85a7840bb2e8

MD5: 4f85f4ffb94178e88d1580dcccf22278

SHA-256: a834511b33d7d757591d846205fc6bfdf3472eb7cc677fbc3e6da297bb4ec75d

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Implementar una plataforma de doble autenticador para las conexiones VPN SSL.

• Evaluar la implementación de un sistema de gestión y remediación de vulnerabilidades de sus servidores o endpoint críticos.

• Mantener un protocolo en equipos con S.O. antiguos con Virtual Patching, de tal manera de reducir la brecha que exista en aquellos equipos que ya no se actualicen por el fabricante.

• Implementar filtrado y segmentación entre redes y utilizar principio de mínimo privilegios.

• Implementar una política de cambio de contraseñas periódicamente, para minimizar el riesgo de accesos no autorizados.

• Implementar una política de revisión en periodos definidos (semestral, trimestral, etc), las cuentas de red a fin de depurar aquellas que estén inactivas y deban ser eliminadas de ser el caso.

• Deshabilitar PowerShell y CMD, en aquellos activos que no requieran de su ejecución; evitando que pueda ser aprovechado por softwares maliciosos.

• Restringir la comunicación SMB (tcp/445) tanto entrante y saliente del perímetro. Además, asegúrese de habilitar la firma SMB.

• Evitar exponer servicios RDP/Escritorio Remoto directamente a Internet, en su defecto utilizar VPN con MFA (Múltiple Facto de Autenticación).

• Mantener una política de backup de los servidores críticos (priorizando el AD) y que no comparta los mismos segmentos de red con los activos principales.

• En caso de utilizar FW, verificar la integración VPN SSL del firewall con el AD, de tal forma de acotar aquellas cuentas que tengan este acceso privilegiado en base a las labores que cumplan dichos usuarios.

• Restringir el acceso externo mediante el bloqueo por Geolocalización, definiendo aquel acceso que sea valido dependiendo los países en que se utilice.

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​