La banda de ransomware BlackMatter se ha dirigido a entidades de infraestructura crítica con sede en EE. UU., Incluidas dos organizaciones del sector de la alimentación y la agricultura, según un aviso conjunto de seguridad cibernética emitido por agencias de inteligencia de EE. UU.
El aviso, publicado el 18 de octubre de 2021 por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Oficina Federal de Investigaciones (FBI) y la Agencia de Seguridad Nacional (NSA), proporciona una descripción general de la amenaza que representa BlackMatter y detalles técnicos de su ataques.
“Vistos por primera vez en julio de 2021, los ciberactores aprovecharon BlackMatter con credenciales integradas y previamente comprometidas que les permitían acceder a la red y cifrar hosts y unidades compartidas de forma remota”, dijo un comunicado de prensa de la NSA.
“Cuando los actores encontraron dispositivos y almacenes de datos de respaldo en la red, no almacenados fuera del sitio, borraron o reformatearon los datos. BlackMatter es una herramienta de ransomware como servicio (RaaS), lo que significa que los desarrolladores pueden beneficiarse de los ciberdelincuentes afiliados (es decir, los actores de BlackMatter) que la implementan “.
El aviso en sí decía: “BlackMatter es un posible cambio de marca de DarkSide, un RaaS que estuvo activo desde septiembre de 2020 hasta mayo de 2021. Los actores de BlackMatter han atacado a numerosas organizaciones con sede en EE. UU. Y han exigido pagos de rescate que van desde $ 80,000 a $ 15,000,000 en bitcoin y monero. “
Agregó que la variante del ransomware BlackMatter usa “credenciales de administrador o usuario integradas que estaban previamente comprometidas y NtQuerySystemInformation y EnumServicesStatusExW para enumerar los procesos y servicios en ejecución, respectivamente”.
También señaló que BlackMatter utiliza un binario de cifrado separado para las máquinas basadas en Linux y encripta rutinariamente las máquinas virtuales ESXi: “En lugar de cifrar los sistemas de respaldo, los actores de BlackMatter borran o reformatean los dispositivos y almacenes de datos de respaldo”.
Aunque el aviso da crédito a la opinión de que BlackMatter es un cambio de marca del ahora desaparecido ransomware DarkSide, al que se le atribuye el ataque a Colonial Pipeline, el grupo mismo ha confirmado que, a pesar de haberse inspirado en la operación DarkSide y haber trabajado con algunos de sus miembros. afiliados en el pasado, es su propio proyecto distinto.
Aunque las agencias de inteligencia de EE. UU. No confirmaron qué dos organizaciones de infraestructura crítica habían sido atacadas, BlackMatter apuntó a la cooperativa de granos New Cooperative con sede en EE. UU. En septiembre de 2021.
Afirmó haber robado datos de recursos humanos y financieros, información de investigación y desarrollo, y el código fuente del software patentado SoilMap de New Cooperative, y exigió un rescate de $ 5,9 millones.
Según Rob Joyce, director de seguridad cibernética de la NSA, la amenaza del ransomware ha ido más allá de los impactos específicos en una empresa víctima y se ha convertido en un problema de seguridad nacional. “Las habilidades técnicas y la inteligencia de amenazas de la NSA continuarán apoyando a nuestros socios en todo el gobierno y la industria para degradar los puntos de apoyo de los adversarios en redes donde lanzan ransomware”, dijo.
“Emplear las mitigaciones en el aviso conjunto con CISA y el FBI protegerá las redes y mitigará el riesgo contra BlackMatter y otros ataques de ransomware”.
A principios de este mes, la senadora estadounidense y ex candidata presidencial demócrata Elizabeth Warren, junto con las congresistas de Carolina del Norte Deborah Ross, presentaron la Ley de Divulgación de Rescate bicameral.
Si se promulga, el proyecto de ley requeriría que las organizaciones que decidan pagar un rescate, no los particulares, divulguen información sobre los pagos del rescate dentro de las 48 horas posteriores a la realización del pago y a más tardar. Esto incluiría cuánto pagaron, qué moneda se utilizó y cualquier información conocida sobre sus atacantes.
Bryan Vorndran, subdirector de la División Cibernética del FBI, dijo que muchos incidentes de ransomware no se denuncian e instó a las organizaciones afectadas a que se comuniquen con la oficina local del FBI.
“Al denunciar un incidente cibernético, las entidades objetivo están mejorando nuestra capacidad de responder e investigar con el objetivo de interrumpir las operaciones delictivas cibernéticas”, dijo. “Continuaremos aprovechando nuestras autoridades y capacidades únicas para proteger al pueblo estadounidense de esta amenaza. Sin embargo, no podemos lograr esto solos.
“Seguimos comprometidos a proporcionar al público y a nuestros socios del sector privado información que reforzará su capacidad para reducir las vulnerabilidades y aumentar la conciencia de posibles exploits”.
El aviso también hizo una serie de recomendaciones de mejores prácticas de mitigación para que las sigan las organizaciones, tales como: implementar y hacer cumplir los procedimientos de respaldo; usar contraseñas sólidas y únicas; implementar la autenticación multifactor; e implementación de segmentación de red y monitoreo transversal.
También recomendó limitar el acceso a los recursos a través de la red al restringir los privilegios solo a las cuentas de servicio o de usuario necesarias, y usar un firewall basado en host para permitir solo las conexiones a recursos compartidos administrativos a través de SMB desde un conjunto limitado de máquinas de administrador.
Específicamente para los proveedores de infraestructura crítica, la mitigación adicional debe venir en forma de: deshabilitar el almacenamiento de contraseñas de texto sin cifrar en la memoria LSASS; limitar el Administrador de redes de área local de nueva tecnología (NTLM) y la autenticación WDigest; implementar protecciones de credenciales para Windows 10 y Server 2016; y minimizar la superficie de ataque de AD, dijo.