**Emergencia en el sector: Exmiembros de BlackSuit resurgen con un nuevo grupo de ransomware de doble extorsión**
—
### 1. Introducción
En un preocupante giro para la ciberseguridad empresarial, investigadores han identificado la aparición de un nuevo grupo de ransomware de doble extorsión formado por antiguos integrantes de BlackSuit, la notoria organización que fue recientemente desarticulada por fuerzas de seguridad internacionales. La rápida reconfiguración de estos actores y el despliegue de nuevas campañas demuestran tanto la resiliencia de las ciberbandas como la necesidad urgente de revisar las estrategias de defensa frente a las amenazas avanzadas.
—
### 2. Contexto del Incidente
BlackSuit, conocido por su actividad agresiva durante 2023 y principios de 2024, fue objeto de una operación internacional coordinada por Europol, el FBI y el Centro Europeo de Ciberdelincuencia (EC3). El grupo era famoso por su modelo de doble extorsión: cifraba los datos de las víctimas y, adicionalmente, amenazaba con publicar información confidencial si no se pagaba el rescate. Pese a la detención de varios miembros y la incautación de infraestructuras, algunos operadores clave lograron evadir la captura y, en apenas semanas, han reorganizado un nuevo equipo, cuyas actividades ya han sido detectadas en sectores críticos de Europa y América.
—
### 3. Detalles Técnicos
Las primeras investigaciones han vinculado a este nuevo grupo con varias muestras de ransomware detectadas a partir de abril de 2024. El malware empleado muestra similitudes con variantes previas de BlackSuit, pero introduce técnicas de evasión y persistencia más sofisticadas, alineadas con las tácticas, técnicas y procedimientos (TTP) documentadas en el framework MITRE ATT&CK (TA0040, TA0042, T1486, T1490).
#### Vector de ataque
– **Acceso inicial**: Explotación de vulnerabilidades conocidas en servidores VPN y RDP sin parchear (CVE-2023-34362, CVE-2024-0982).
– **Movimiento lateral**: Uso de herramientas legítimas como PsExec y exploits personalizados para escalar privilegios (T1059, T1075).
– **Persistencia**: Implantación de backdoors y manipulación de tareas programadas (T1053).
– **Exfiltración de datos**: Antes del cifrado, los datos críticos son extraídos mediante canales cifrados (Rclone, MegaCLI), siguiendo el patrón T1567.
#### IoC y herramientas empleadas
– **Hash de archivos**: SHA256 asociados a las muestras recientes coinciden parcialmente con artefactos de BlackSuit.
– **Infraestructura de C2**: Nuevos dominios y direcciones IP alojados en bulletproof hostings de Rusia y Asia Central.
– **Frameworks**: Se observan payloads generados con Cobalt Strike y adaptaciones de scripts PowerShell para la descarga y ejecución del ransomware.
– **Exploit kits**: Se detecta integración con Metasploit para ataques dirigidos y automatización de fases iniciales.
—
### 4. Impacto y Riesgos
El resurgimiento bajo una nueva marca mantiene el enfoque en sectores con elevada criticidad: sanidad, manufactura, administración pública y logística. Las primeras estimaciones apuntan a más de 35 empresas afectadas en la UE durante el último mes, con demandas de rescate medias de 1,2 millones de euros y amenazas explícitas de filtración de datos sensibles. Según datos de ENISA y el último informe de Verizon DBIR, el ransomware representa ya el 24% de los incidentes críticos en el Espacio Económico Europeo, con un coste medio por incidente de 4,5 millones de euros en 2023.
En lo que respecta al cumplimiento normativo, la filtración de datos personales puede activar la obligación de notificación en virtud del GDPR, así como sanciones adicionales bajo la directiva NIS2 para operadores de servicios esenciales.
—
### 5. Medidas de Mitigación y Recomendaciones
Los expertos recomiendan extremar las siguientes medidas:
– **Parches y actualizaciones**: Priorizar la corrección de vulnerabilidades críticas en servicios expuestos (especialmente VPN y RDP).
– **Segmentación de red**: Limitar el movimiento lateral restringiendo privilegios y monitorizando conexiones internas.
– **Copias de seguridad**: Mantener backups offline y probar regularmente los procedimientos de recuperación.
– **Monitorización avanzada**: Implementar EDRs y SIEMs capaces de detectar técnicas asociadas a Cobalt Strike y movimientos sospechosos (detección de PsExec, PowerShell y Rclone).
– **Plan de respuesta**: Revisar y probar los procedimientos de gestión de incidentes y comunicación a las autoridades regulatorias.
—
### 6. Opinión de Expertos
Andrés Moreno, analista senior en Threat Intelligence de S21sec, advierte: “La transición de los operadores de BlackSuit a una nueva organización no es sorprendente. Estos grupos están altamente profesionalizados y cuentan con recursos suficientes para mutar rápidamente su infraestructura y técnicas. El uso de doble extorsión y la explotación de vulnerabilidades conocidas sigue siendo una constante, por lo que la agilidad en el parcheo y la monitorización proactiva son esenciales”.
—
### 7. Implicaciones para Empresas y Usuarios
La aparición de esta nueva amenaza subraya la necesidad de una vigilancia continua y una cultura de ciberseguridad robusta. Las organizaciones deben revisar su exposición a servicios remotos, revisar exhaustivamente sus políticas de acceso y reforzar la formación de sus empleados frente a ataques de ingeniería social. Desde el punto de vista legal, la adecuada notificación y la transparencia en la gestión de incidentes serán clave para minimizar sanciones y daños reputacionales.
—
### 8. Conclusiones
El resurgimiento de antiguos miembros de BlackSuit en un nuevo grupo de ransomware de doble extorsión marca una tendencia preocupante: la resiliencia y adaptabilidad de los cibercriminales frente a la presión policial internacional. La sofisticación técnica, la rapidez en la reagrupación y la orientación a sectores críticos obligan a las empresas a avanzar hacia modelos de seguridad basados en inteligencia, respuesta rápida y cumplimiento normativo estricto.
(Fuente: www.darkreading.com)