BlackCat/ALPHV ransomware afirma haber pirateado Unisuper

Por medio de un Tweet, BetterCyber informa que la pandilla de ransomware ruso Black Cat, también conocida como ALPHV, ha confirmado haber pirateado Unisuper SA, una cadena de supermercados en Guatemala que incluye los supermercados La Torre, Express y Econosuper. Un dato importante es que la cadena de suministro de esta red de supermercados es controlada por IA.

El ransomware es nombrado por los desarrolladores como ALPHV y se está promocionando en foros de piratería de habla rusa. BlackCat/ALPHV es una nueva operación de ransomware repleta de funciones, lanzada en noviembre del 2021 y desarrollada en el lenguaje de programación Rust, lo cual es inusual para las infecciones de ransomware.

MalwareHunterTeam nombró al ransomware BlackCat debido al mismo favicon de un gato negro que se usa en el sitio de pago Tor de cada víctima.

imagen tomada del tweet de BetterCyber

El ejecutable del ransomware es altamente personalizable, con diferentes métodos y opciones de cifrado que le permiten ataques en una amplia gama de entornos corporativos.

El FBI publicó un aviso advirtiendo que BlackCat había violado al menos 60 entidades en todo el mundo, asumiendo el estado que se anticipaba alcanzar como uno de los proyectos de ransomware más activos y peligrosos que existen.

Screen del stio web de la empresa latam.ransomwarehelp.com

Una breve historia sobre los cambios de marca de ransomware

Muchas operaciones de ransomware se ejecutan como Ransomware-as-a-Service (RaaS), donde los miembros principales están a cargo de desarrollar la infección de ransomware y administrar los servidores, mientras que los afiliados (también conocidos como “anuncios”) son reclutados para violar las redes corporativas y realizar ataques. .

Como parte de este acuerdo, los desarrolladores principales ganan entre el 10 y el 30 % del pago del rescate, mientras que el afiliado gana el resto. Los porcentajes cambian según la cantidad de ingresos por rescate que un afiliado en particular aporta a la operación.

Si bien ha habido muchas operaciones de RaaS en el pasado, ha habido algunas pandillas de primer nivel que comúnmente se cierran cuando las fuerzas del orden público están detrás de ellos y luego cambian de marca con nuevos nombres.

Estas operaciones de Ransomware-as-a-Service de primer nivel y sus cambios de marca son:

Algunos creen que Conti fue un cambio de marca de Ryuk, pero las fuentes le dicen a BleepingComputer que ambas son operaciones discretas dirigidas por TrickBot Group y que no están afiliadas entre sí.

Si bien algunos afiliados tienden a asociarse con una sola operación de RaaS, es común que los afiliados y los evaluadores de penetración se asocien con varias pandillas a la vez.

Por ejemplo, un afiliado de ransomware le dijo a BleepingComputer que trabajaba con las operaciones de ransomware Ragnar Locker, Maze y REvil simultáneamente.

Fuentes: _bettercyber & ransomwarehelp & cronup & adalparedes & IC3 FBI