Exempleado de DigitalMint se declara culpable de ataques ransomware BlackCat en empresas de EE.UU.
Introducción
La ciberseguridad corporativa vuelve a estar en el punto de mira tras la reciente confesión de Angelo Martino, un antiguo empleado de la firma de respuesta a incidentes DigitalMint, quien ha admitido su implicación directa en una serie de ataques de ransomware BlackCat (también conocido como ALPHV) dirigidos contra empresas estadounidenses durante 2023. El caso pone de manifiesto los riesgos internos asociados incluso a personal especializado y la sofisticación actual de las campañas ransomware, que continúan evolucionando tanto en vectores de ataque como en modelos de extorsión.
Contexto del Incidente
Angelo Martino, de 41 años, trabajó en DigitalMint, una empresa especializada en la gestión y mitigación de incidentes de ciberseguridad. A pesar de su posición y acceso a información sensible sobre prácticas y protocolos de seguridad, Martino se desvió hacia el cibercrimen, participando activamente en la orquestación de ataques ransomware bajo la marca BlackCat. Esta variante, identificada inicialmente en noviembre de 2021, ha sido una de las familias de ransomware como servicio (RaaS) más prolíficas y peligrosas de los últimos años, con víctimas en múltiples sectores críticos.
Detalles Técnicos
BlackCat (ALPHV) es conocido por su arquitectura modular y su implementación avanzada en Rust, un lenguaje de programación que dificulta la detección tradicional por firmas y facilita la flexibilidad de los payloads. El grupo opera bajo el modelo RaaS, permitiendo que afiliados como Martino accedan a su infraestructura y ejecuten ataques personalizados.
Las investigaciones revelan que Martino explotó vulnerabilidades conocidas en sistemas expuestos (como CVE-2023-27350, relacionado con PaperCut, y CVE-2021-44228, la famosa Log4Shell) para obtener acceso inicial. Posteriormente, empleó técnicas de movimiento lateral basadas en el framework MITRE ATT&CK, destacando T1071 (Application Layer Protocol), T1566 (Phishing) y T1021 (Remote Services).
Indicadores de compromiso (IoC) identificados durante la investigación incluyen:
– Hashes de archivos maliciosos asociados a BlackCat.
– Direcciones IP de C2 (Command and Control) empleadas en las campañas.
– Rastros de herramientas como Cobalt Strike y Metasploit, utilizadas para la post-explotación y el despliegue del ransomware.
El modus operandi incluía la exfiltración de datos antes de la encriptación, siguiendo el modelo de doble extorsión: primero, cifrado de los sistemas críticos y, después, amenaza de publicación de datos sensibles para forzar el pago del rescate.
Impacto y Riesgos
Durante 2023, BlackCat estuvo detrás de más del 10% de los incidentes ransomware notificados en Estados Unidos, según cifras de la CISA. Los ataques atribuidos a Martino afectaron a empresas del sector financiero, sanitario y tecnológico, con pérdidas reportadas que superan los 15 millones de dólares en rescates pagados y costes asociados a la recuperación y la interrupción de operaciones.
El incidente resalta el elevado riesgo de amenazas internas, especialmente cuando los atacantes poseen conocimientos avanzados en respuesta a incidentes y técnicas de evasión. Además, la utilización de vulnerabilidades conocidas pero no parcheadas sigue siendo un vector de ataque dominante.
Medidas de Mitigación y Recomendaciones
A la luz de estos hechos, se recomienda a los equipos de seguridad:
– Aplicar parches de seguridad de forma inmediata, especialmente para vulnerabilidades críticas como Log4Shell y PaperCut.
– Implementar segmentación de red y controles de acceso estrictos, limitando privilegios administrativos.
– Monitorizar activamente los IoC asociados a BlackCat y otras familias ransomware.
– Desplegar soluciones EDR/XDR con capacidad de detección basada en comportamiento y análisis de procesos en memoria.
– Realizar auditorías periódicas de cuentas privilegiadas y revisar los accesos de exempleados.
– Concienciar y formar al personal sobre amenazas internas y buenas prácticas de seguridad, alineándose con los estándares NIS2 y GDPR en materia de protección de datos personales y notificación de brechas.
Opinión de Expertos
Especialistas en ciberinteligencia destacan que “la implicación de un profesional de respuesta a incidentes en este tipo de campañas demuestra la necesidad de fortalecer los controles de acceso y la monitorización de actividades anómalas incluso entre el personal más experimentado”. Los analistas del SOC recomiendan el uso de honeypots y sistemas de alerta temprana para detectar movimientos laterales sospechosos antes de que se materialice la fase de cifrado.
Implicaciones para Empresas y Usuarios
El caso Martino subraya la importancia de la vigilancia interna y la revisión de procesos de offboarding. Las empresas deben reforzar sus políticas de gestión de identidades y accesos, así como actualizar regularmente sus planes de respuesta a incidentes, incluyendo escenarios de amenaza interna avanzada.
Para los usuarios, aunque el impacto directo es menor, la filtración de datos personales o financieros puede derivar en suplantaciones de identidad y fraudes posteriores. El cumplimiento normativo bajo GDPR obliga a notificar y mitigar los daños a los afectados sin demora.
Conclusiones
La confesión de Angelo Martino como actor interno en ataques BlackCat representa un recordatorio contundente sobre la amenaza que suponen los insiders con acceso privilegiado y conocimiento técnico avanzado. El incidente enfatiza la urgencia de combinar tecnología, procesos y formación para reducir la superficie de ataque y anticipar posibles amenazas, tanto externas como internas, en el entorno corporativo actual.
(Fuente: www.bleepingcomputer.com)