AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Tres ex-empleados de DigitalMint y Sygnia, acusados de ataques BlackCat contra empresas estadounidenses

admin

Introducción

El panorama de amenazas cibernéticas ha recibido un nuevo golpe con la reciente acusación formal contra tres ex-empleados de empresas de respuesta a incidentes de ciberseguridad, DigitalMint y Sygnia. Los profesionales, que en su día se dedicaron a proteger infraestructuras críticas frente a amenazas, habrían utilizado sus conocimientos y acceso privilegiado para perpetrar ataques de ransomware BlackCat (ALPHV) contra al menos cinco compañías estadounidenses en el periodo comprendido entre mayo y noviembre de 2023. Este caso pone de manifiesto la necesidad de reforzar los controles internos y la gestión de riesgos asociados a personal con experiencia en ciberseguridad.

Contexto del Incidente

Según la acusación, los tres individuos aprovecharon su posición y experiencia profesional obtenida en DigitalMint y Sygnia, ambas empresas de renombre en el sector de la respuesta a incidentes, para lanzar una serie de ataques coordinados. Las víctimas, cinco organizaciones de Estados Unidos cuyos nombres no han trascendido por motivos legales y de confidencialidad, sufrieron infecciones de ransomware BlackCat (también conocido como ALPHV), una de las familias de ransomware más sofisticadas y activas del mercado negro desde su aparición en 2021.

Cabe destacar que tanto DigitalMint como Sygnia han colaborado históricamente con fuerzas de seguridad y el sector privado para mitigar incidentes de ransomware, lo que añade gravedad al hecho de que los atacantes provinieran de sus filas.

Detalles Técnicos

El grupo criminal habría empleado BlackCat (ALPHV), un ransomware distinguido por su arquitectura en Rust, lo que le otorga flexibilidad multiplataforma (Windows y Linux), capacidades avanzadas de evasión y cifrado de alto rendimiento. Los atacantes explotaron vulnerabilidades conocidas y vectores habituales como RDP expuesto, credenciales comprometidas y movimientos laterales tras el acceso inicial.

Según los informes, el modus operandi incluyó:

– **Reconocimiento**: Uso de herramientas estándar para escaneo de red (Nmap, BloodHound).
– **Obtención de acceso inicial**: Explotación de credenciales privilegiadas obtenidas posiblemente a través de técnicas de phishing dirigidas o compra en mercados clandestinos.
– **Ejecución de payload**: Despliegue del ejecutable BlackCat/ALPHV, que cifra datos críticos y exfiltra información sensible para doble extorsión.
– **Persistencia y evasión**: Implementación de scripts personalizados para desactivar soluciones EDR/AV y limpieza de logs.
– **Herramientas auxiliares**: Se ha identificado el uso de frameworks como Cobalt Strike y Metasploit para establecer C2 (Command & Control) y el movimiento lateral.

Los indicadores de compromiso (IoC) incluyen ejecutables con firmas hash SHA256 asociadas a variantes recientes de BlackCat, direcciones de wallets de criptomonedas empleadas para el pago de rescates y dominios de C2 previamente documentados en campañas similares.

El marco MITRE ATT&CK identifica las siguientes tácticas y técnicas relevantes:
– TA0001: Initial Access (T1078 – Valid Accounts)
– TA0002: Execution (T1059 – Command and Scripting Interpreter)
– TA0005: Defense Evasion (T1562 – Impair Defenses)
– TA0011: Command and Control (T1071 – Application Layer Protocol)

Impacto y Riesgos

El impacto económico estimado supera los 10 millones de dólares en pérdidas directas e indirectas (incluyendo rescates pagados, coste de recuperación, pérdida reputacional y sanciones regulatorias). En al menos dos de los casos, los datos exfiltrados incluían información personal identificable (PII) y propiedad intelectual, lo que expone a las organizaciones afectadas a potenciales sanciones bajo el GDPR y la inminente Directiva NIS2 de la Unión Europea en materia de notificación de incidentes y protección de infraestructuras críticas.

Se estima que BlackCat representa el 16% de todas las infecciones de ransomware reportadas en 2023, y se ha observado una tendencia al alza en su sofisticación y capacidad de personalización.

Medidas de Mitigación y Recomendaciones

Los expertos recomiendan implementar una estrategia de seguridad en profundidad, con especial atención a los siguientes controles:

– Revisión periódica y revocación inmediata de accesos privilegiados tras la salida de empleados.
– Monitorización continua de logs y endpoints mediante soluciones SIEM y EDR avanzadas.
– Segmentación de red y limitación del acceso RDP.
– Concienciación y formación específica para empleados sobre phishing y tácticas de ingeniería social.
– Aplicación rápida de parches y actualizaciones en sistemas críticos.
– Backups externos y pruebas de restauración periódica.
– Detección proactiva de IoC asociados a BlackCat y variantes relacionadas.

Opinión de Expertos

Analistas de seguridad de Mandiant y Group-IB destacan la gravedad de que actores internos o ex-empleados con acceso a información sensible puedan convertirse en amenazas persistentes avanzadas (APT). «El insider threat sigue siendo uno de los vectores menos abordados y más peligrosos», apunta un CISO de una multinacional tecnológica. Además, se alerta sobre la sofisticación creciente de BlackCat, que incorpora técnicas de Ransomware-as-a-Service (RaaS) y capacidades para atacar infraestructuras cloud e híbridas.

Implicaciones para Empresas y Usuarios

Este incidente subraya la importancia de vigilar no sólo las amenazas externas, sino también los riesgos internos. Las organizaciones deben reforzar sus políticas de offboarding, incorporar auditorías de acceso y asegurar el cumplimiento normativo bajo marcos como GDPR, NIS2 y CCPA. Para los usuarios finales, la concienciación sobre la protección de datos y la verificación de comunicaciones corporativas se vuelve esencial.

Conclusiones

El caso de los ex-empleados de DigitalMint y Sygnia implicados en ataques BlackCat marca un hito preocupante en la evolución de las amenazas internas en el sector de la ciberseguridad. Reforzar controles, actualizar procedimientos de gestión de identidades y fomentar una cultura de seguridad son claves para mitigar riesgos en un contexto donde la sofisticación técnica y el conocimiento interno pueden ser armas letales en manos equivocadas.

(Fuente: www.bleepingcomputer.com)