Epm fue atacado por BlackCat, un sofisticado ransomware relacionado a desarrollos rusos y que se vende como servicio
Una vez se han venido conociendo detalles del tipo de ataque que perjudicó a EPM se puede ir construyendo un rompecabezas que ayudará conocer qué es lo que realmente pasa en EPM y cuáles son verdaderas afectaciones.
Comprender el error permite identificar mucho más detalles de los que sabíamos hasta el momento.
En la primera prueba se hacía referencia a 8upt97g debido a la nota explicativa que sembró el atacante. Luego se mostró como unos archivos en Excel tenía la misma extensión.
Tres personas con conocimiento técnico me explicaron que la extensión .8upt97g, en realidad son un número aleatorio que genera el tipo de Ransomware usado.
Igualmente indicaron que esta aleatoriedad es una de las principales características de un complejo y sofisticado Ransomware que se llama BlackCat.
La aleatoriedad de la extensión sumado a que en anteriores ataques BlackCat se observa el mismo mensaje permite concluir que detrás del ataque está Ransomware pero los detalles más asombroso de esta revelación es que, específicamente este tipo de ataque – posiblemente desarrollado por rusos – se conoce como ransomware as a service (RaaS).

Para los lectores sin conocimientos técnicos del tema el concepto ransomware as a service probablemente no diga mucho pero es un tema central en todo lo que está pasando.
Dentro de los diferentes desarrollos técnicos de Ransomware existen diferentes categorías. Una de estas tiene que ver con la posibilidad de vender el servicio de ataque. Justamente Blackcat es uno de estos servicios de ataque que se venden en el mercado negro.
Entender que EPM fue atacado por Blackcat abre las posibilidades para los análisis porque especialmente este tipo de Ransomware se desarrolla, en parte, gracias a la actividad humana dentro los sistemas atacados donde se encuentran vulnerabilidades que se explotan. Esta es una posibilidad según un informe de Microsoft sobre el tema.
Blackcat tiene registros de ataques a más de 60 organizaciones en todo el planeta.
Se agradece a las cuatro personas que con su conocimiento técnico y anonimato ayudan a comprender qué pasa.
Más información sobre BlackCat
Pingback: Empresas públicas de Medellín es víctima de posible ataque Ransomware y podrían estar en riesgo datos sensibles de la organización – Mucho Hacker
Preocupante lo que está pasando en estos últimos días en el país en relación con los ciber ataques. ¿Se podría pensar que estos 3 últimos grandes ataques están relacionados?
No. Creo que son totalmente diferentes. Pero aprovechan vulnerabilidades que sí comparten todos.
No. No hay forma de conectarlos
Vi en virus total que el archivo usado para lanzar el encriptado tenía el nombre de EPM. esto significaría que es un ataque a la medida?
Tocaría ver el archivo. Lo que se se sabe de este ransomware es que es un servicio que venden