Según reporte de Bloomberg, un grupo de ransomware conocido como Black Cat está librando una campaña agresiva contra decenas de empresas en los EE. UU. y Europa, adoptando una técnica novedosa para presionar a las víctimas para que paguen costosas tarifas de extorsión.
Los grupos de ransomware generalmente solían cifrar los archivos de una víctima y exigir un pago para desbloquearlos. Luego, muchos de ellos también comenzaron a robar archivos, amenazando con publicar los datos a menos que se les pagara una tarifa adicional. Pero a menudo era difícil acceder a los datos robados.
Black Cat ha intentado resolver el problema. En junio, el grupo comenzó a hacer que los datos robados se pudieran buscar en su sitio web. El resultado es que los datos de las víctimas son más fáciles de ver en línea, lo que maximiza el daño a la reputación que podría enfrentar una empresa y brinda a los hackers más influencia cuando buscan extorsionar un gran pago.
Los investigadores de seguridad cibernética de Unit 42, un equipo de seguridad cibernética de Palo Alto Networks, vincularon a los miembros de Black Cat con Rusia, y señalaron que el grupo se comunica con sus miembros o afiliados en idioma ruso y se sabe que opera en foros rusos sobre ciberdelincuencia.
El grupo, también conocido como ALPHV, parece tener una particular afinidad por atacar a las empresas energéticas. A fines del mes pasado, por ejemplo, la pandilla apuntó a un proveedor de gas y energía con sede en Luxemburgo, Creos Luxembourg, y su empresa matriz Encevo SA. Los intrusos irrumpieron en las computadoras de la empresa y cifraron los archivos almacenados en ellas, luego exigieron un pago para desbloquear la información.
Encevo se negó a pagar dinero al grupo, según un portavoz de la empresa. Posteriormente, los hackers descargaron más de 100 gigabytes de datos corporativos, incluidos correos electrónicos e informes internos, en la dark web.
El ataque interrumpió el acceso de los clientes a algunos de los sitios web de Encevo y Creos, pero no afectó los suministros de gas y electricidad, según el vocero. Sin embargo, el incidente volvió a poner de relieve el peligro que representan los hackers de ransomware para el sector energético.
El grupo detrás de Black Cat ha apuntado previamente a otros proveedores de energía. En febrero, hackers afiliados a Black Cat infectaron computadoras en Mabanaft GmbH y Oiltanking GmbH. La pandilla también tiene vínculos con un grupo llamado DarkSide, que el año pasado violó Colonial Pipeline Co., según Brett Callow, analista de amenazas de la firma de seguridad cibernética Emsisoft.
Callow dijo que el objetivo de Black Cat contra las empresas de energía es particularmente alarmante, ya que es posible que tales ataques interrumpan el suministro de electricidad o gas. El hack de DarkSide, por ejemplo, cerró el oleoducto de gasolina más grande de los EE. UU. durante varios días. Menciono que los hackers no siempre están en condiciones de conocer el impacto del ataque, ni parece importarles.
En el caso del ataque al proveedor de energía luxemburgués Creos, “el aspecto preocupante aquí es que Black Cat no habría tenido idea de si este ataque interrumpiría el suministro”, dijo Callow. “No habrían entendido todas las implicaciones técnicas de lo que estaban haciendo, pero lo hicieron de todos modos”.
En mayo, Rob Joyce, director de seguridad cibernética de la Agencia de Seguridad Nacional, dijo que las sanciones de Estados Unidos contra Rusia habían dificultado que las bandas de hackers que operan en el país movieran dinero y compraran infraestructura informática.