El Threat Hunter Team de la empresa de software Symantec informó que Noberus, que también se conoce con el nombre de BlackCat/ALPHV, está aprovechando nuevas herramientas, tácticas y procedimientos (TTP). El ransomware como servicio BlackCat/ALPHV ha comprometido al menos a 60 entidades diferentes en todo el mundo que utilizan el lenguaje de programación RUST, según un informe de la División Cibernética de la Oficina Federal de Investigaciones de abril de 2022. Es probable que la cantidad de organizaciones afectadas haya aumentado desde entonces. después.
Noberus está utilizando una herramienta de exfiltración de datos actualizada, el malware Exmatter y Eamfo diseñado para robar credenciales, según el informe de Symantec. Cuatro expertos en seguridad cibernética profundizan en lo que significan las actualizaciones de Noberus y el ransomware en evolución para los líderes de TI que necesitan ayudar a defender sus organizaciones.
Cómo funciona Noberus
Noberus es un descendiente de las familias de ransomware Darkside y BlackMatter; Darkside se utilizó en el ataque del oleoducto colonial de 2021. Symantec informa que la operación de ransomware como servicio Coreid es probablemente responsable del desarrollo de estas cepas de ransomware.
Noberus se descubrió inicialmente en noviembre de 2021 y, desde entonces, se ha sometido a una serie de actualizaciones para mejorar su eficiencia, incluida una nueva funcionalidad de cifrado. Se detectó una versión actualizada de la herramienta Exmatter en relación con los ataques de Noberus en agosto, según Symantec. También informa que se ha observado que los atacantes que aprovechan Noberus utilizan el malware Eamfo para robar las credenciales almacenadas por el software de Veeam.
“Lo que distingue a Noberus de otros grupos de ransomware es su capacidad para diseñar ejecutables de ransomware altamente personalizables para su objetivo previsto”, dice Aaron Sandeen, director ejecutivo y cofundador de Cyber Security Works, una autoridad de numeración CVE patrocinada por el Departamento de Seguridad Nacional de EE. UU. “En lugar de crear malware automatizado, el ransomware Noberus dedica mucha mano de obra a comprender los sistemas de su objetivo para encontrar puntos de entrada específicos”.
Respondiendo al ransomware en evolución
Las actualizaciones de Noberus son preocupantes pero esperadas. “Esta es la nueva normalidad. Los grupos criminales continuarán reinvirtiendo parte de sus ganancias en investigación y desarrollo para impulsar el ciclo de innovación de desarrollo y distribución de sus productos no deseados”, dice Kayne McGladrey, miembro sénior de la organización profesional Instituto de Ingenieros Eléctricos y Electrónicos (IEEE) .
Si bien las grandes organizaciones pueden parecer los principales objetivos de los ataques de ransomware, los actores de amenazas se dirigen a entidades de todos los tamaños. Y las organizaciones más pequeñas a menudo carecen de defensas de ciberseguridad. El informe SpyCloud Ransomware Defense encontró que a las empresas más pequeñas les ha ido peor que a las empresas más grandes este año.
“Los atacantes han descubierto cómo monetizar a los ciberpobres, pero los defensores aún no”, dice Joshua Corman, ex estratega jefe de la Agencia de Seguridad de Infraestructura de Ciberseguridad (CISA) y vicepresidente de seguridad cibernética de la empresa de seguridad cibernética Claroty.
Pero los líderes de TI tienen formas de minimizar la superficie de ataque y las vulnerabilidades a las que pueden apuntar Noberus u otras cepas de ransomware. “En primer lugar, los líderes de TI deben estar familiarizados con los proveedores/productos y las vulnerabilidades específicas a las que apuntan Noberus y los grupos APT asociados y parchearlos de inmediato si aún no se han solucionado”, explica Sandeen de Cyber Security Works.
Las mejores prácticas de seguridad cibernética, como la confianza cero y el marco de seguridad cibernética del NIST, pueden reducir significativamente el riesgo de ser presa del ransomware, pero adoptar estas prácticas no siempre está al alcance. Corman sugiere que las organizaciones que carecen del presupuesto y los recursos para invertir en ciberseguridad comiencen por reducir las malas prácticas, como el final de la vida útil del software no compatible, las contraseñas predeterminadas y las herramientas de administración remota de un solo factor.
Además, las organizaciones pueden hacer uso de recursos de fácil acceso. Por ejemplo, CISA publica vulnerabilidades explotadas conocidas y agrega recursos para que las organizaciones se defiendan contra el ransomware, así como orientación para cuando las entidades han sido atacadas por un ataque de ransomware.
“Si una empresa no puede dedicar personal de ciberseguridad para proteger sus propios activos, entonces la subcontratación a profesionales de la industria o el aprovechamiento de los recursos de la nube con profesionales de ciberseguridad que ya cuentan con personal interno es un enfoque muy razonable que, si se implementa correctamente, puede reducir drásticamente el riesgo de ransomware”, dice Andrew. Reifers, PhD, profesor asociado de enseñanza en la Escuela de Información de la Universidad de Washington.
Enfrentando una Amenaza Creciente
El ransomware llegó para quedarse, pero la pérdida de ingresos y registros ya no es la única consecuencia. Los actores de amenazas ahora se están enfocando en el cuidado de la salud y otras organizaciones de infraestructura crítica.
“Durante los últimos 30 años de ciberseguridad y conectividad, la mayoría de los atacantes respetaron y dejaron en paz cosas como el agua que bebes y la comida que pones en tu mesa y la atención médica. Ese respeto ya no está presente. Son mucho más agresivos”, advierte Corman. “El ransomware ahora tiene un costo humano. No estamos midiendo el recuento de registros. Estamos midiendo el recuento de cadáveres”.
Coreid publicó reglas con el ransomware Noberus, indicando que no se puede usar para atacar los sectores de salud, educación y gobierno, entre otros, según el informe de Symantec. Pero la infraestructura crítica es innegablemente vulnerable. En 2021, el FBI informó 649 denuncias de ataques de ransomware en organizaciones de infraestructura crítica.
El ransomware, como Noberus, seguirá evolucionando, pero los atacantes también seguirán aprovechando las herramientas heredadas que requieren muy poca innovación, si es que requieren algo, mientras que muchos de sus objetivos siguen careciendo de la ciberseguridad adecuada.
Qué leer a continuación:
4 lecciones aprendidas de la última violación de Uber
El costo de un ataque de ransomware, parte 1: el rescate
El costo de un ataque de ransomware, parte 2: respuesta y recuperación