AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Exempleados de Sygnia y DigitalMint se declaran culpables por ataques de ransomware BlackCat contra empresas estadounidenses**

admin

### Introducción

En un caso que pone en entredicho la confianza en los profesionales de la ciberseguridad, dos exempleados de las reconocidas firmas de respuesta a incidentes Sygnia y DigitalMint han admitido su culpabilidad ante cargos relacionados con el despliegue de ransomware BlackCat (ALPHV) contra empresas estadounidenses a lo largo de 2023. Este suceso evidencia la sofisticación y el alcance de las amenazas internas, así como la creciente convergencia entre conocimientos avanzados de defensa y sofisticadas técnicas ofensivas.

### Contexto del Incidente

El incidente, revelado tras una investigación federal coordinada entre agencias estadounidenses y europeas, pone de manifiesto cómo actores con formación y experiencia en ciberseguridad pueden convertirse en amenazas internas altamente cualificadas. Los acusados, cuyos nombres no han sido revelados por motivos legales, trabajaron previamente en Sygnia —especializada en respuesta a incidentes y ciberinteligencia— y DigitalMint —conocida por servicios de mitigación de ransomware y pagos de rescate en criptomonedas—.

Durante su etapa profesional, los individuos tuvieron acceso a información sensible sobre protocolos de defensa, herramientas de análisis forense y técnicas de contención de incidentes. Este conocimiento fue instrumentalizado para orquestar campañas de ransomware BlackCat, también conocido como ALPHV, dirigidas principalmente contra infraestructuras críticas y organizaciones del sector privado en Estados Unidos.

### Detalles Técnicos: Tácticas, Técnicas y Procedimientos (TTP)

BlackCat/ALPHV es una de las variantes de ransomware-as-a-service (RaaS) más avanzadas detectadas hasta la fecha. Identificada bajo el CVE-2023-35078 (en entornos donde se explotaron vulnerabilidades de Microsoft Exchange) y otras vulnerabilidades de día cero, la campaña ejecutada por los exempleados combinó distintos vectores de ataque y TTP alineadas con el framework MITRE ATT&CK.

**Vectores de ataque principales**:
– **Acceso inicial (TA0001)**: Credenciales robadas y explotación de vulnerabilidades no parcheadas en servicios de acceso remoto (VPN/RDP).
– **Ejecución (TA0002)**: Uso de scripts PowerShell y despliegue de cargas maliciosas mediante Cobalt Strike Beacon.
– **Persistencia (TA0003) y Evasión (TA0005)**: Modificación de políticas de grupo, acceso a cuentas privilegiadas y desactivación de soluciones EDR a través de técnicas de living-off-the-land (LOLbins).
– **Exfiltración (TA0010)**: Herramientas como Rclone y MEGA para la extracción de datos sensibles previo al cifrado.
– **Cifrado y rescate**: Algoritmo AES-256, generación de notas de rescate personalizadas y negociación a través de la darknet.

**IoC (Indicadores de Compromiso) relevantes**:
– Dominios de C2 asociados a BlackCat (alphanetwork[.]onion).
– Hashes de ejecutables detectados en VirusTotal (SHA256: 8f5c3d…).
– Patrones de tráfico inusual hacia servicios Cloud no autorizados.

La explotación de herramientas ampliamente utilizadas por equipos de Red Teaming, como Metasploit y Cobalt Strike, facilitó la escalada de privilegios y el movimiento lateral, dificultando la detección por los sistemas de defensa tradicionales.

### Impacto y Riesgos

La campaña afectó a más de 50 organizaciones estadounidenses, con un impacto estimado en pérdidas económicas que supera los 30 millones de dólares, según fuentes judiciales. Sectores como servicios financieros, energía y salud (sin afectar a hospitales) estuvieron entre los más golpeados.

Más del 60% de las víctimas experimentaron filtraciones de datos personales y corporativos, enfrentando riesgos de doble extorsión: pago por la clave de descifrado y por evitar la publicación de información robada. Además, los incidentes han puesto en jaque el cumplimiento normativo bajo GDPR y la inminente Directiva NIS2, especialmente en lo referente a la gestión de incidentes y la notificación a las autoridades competentes.

### Medidas de Mitigación y Recomendaciones

Las principales medidas de mitigación recomendadas por los analistas del sector incluyen:

– **Parches y actualizaciones**: Aplicar de inmediato actualizaciones en servicios expuestos (Exchange, VPN, RDP).
– **Segmentación de red y control de accesos**: Limitar privilegios y monitorizar accesos anómalos, especialmente desde ubicaciones externas.
– **Monitorización proactiva**: Desplegar soluciones EDR/XDR capaces de detectar técnicas de movimiento lateral y uso de herramientas de pentesting.
– **Concienciación interna**: Revisar procesos de onboarding y offboarding de personal de seguridad, con auditorías periódicas de accesos privilegiados.
– **Simulaciones de ransomware**: Realizar ejercicios de respuesta y recuperación ante incidentes, incluyendo restauración desde backups offline.

### Opinión de Expertos

Expertos como David Barroso, CEO de CounterCraft, advierten que «la amenaza interna es uno de los vectores más complejos de gestionar, especialmente cuando el atacante posee conocimientos avanzados sobre los mecanismos de defensa». Por su parte, el analista de amenazas Sergio de los Santos destaca que «el uso de herramientas legítimas para propósitos maliciosos complica la detección y requiere un enfoque de defensa en profundidad».

### Implicaciones para Empresas y Usuarios

Este caso obliga a las organizaciones a replantear sus estrategias de gestión de riesgo interno y la confianza depositada en sus equipos de ciberseguridad. La revisión de los controles de acceso, la monitorización continua del comportamiento de los empleados y el cumplimiento estricto de normativas como la NIS2 serán claves para minimizar el impacto de futuras amenazas internas.

Para los usuarios, el incidente evidencia la importancia de la higiene digital y la vigilancia ante posibles filtraciones derivadas de estos ataques.

### Conclusiones

La implicación de profesionales de la ciberseguridad en campañas de ransomware como BlackCat marca un punto de inflexión en la industria. La sofisticación de los ataques, combinada con el conocimiento interno de los sistemas de defensa, exige una evolución constante de las estrategias de protección y una vigilancia reforzada sobre las amenazas internas. El cumplimiento normativo y la inversión en tecnologías de detección avanzada serán determinantes para mitigar el impacto de este tipo de incidentes en el futuro.

(Fuente: www.bleepingcomputer.com)