AtaquesNacionales

Epm fue atacado por BlackCat, un sofisticado ransomware relacionado a desarrollos rusos y que se vende como servicio

Una vez se han venido conociendo detalles del tipo de ataque que perjudicó a EPM se puede ir construyendo un rompecabezas que ayudará conocer qué es lo que realmente pasa en EPM y cuáles son verdaderas afectaciones.

En el post anterior afirmamos que EPM había sido atacada por un extraño Ransomware al que bautizamos 8upt97g. Esto es un error y una imprecisión.

Comprender el error permite identificar mucho más detalles de los que sabíamos hasta el momento.

En la primera prueba se hacía referencia a  8upt97g debido a la nota explicativa que sembró el atacante. Luego se mostró como unos archivos en Excel tenía la misma extensión.  

Tres personas con conocimiento técnico me explicaron que la extensión  .8upt97g, en realidad son un número aleatorio que genera el tipo de Ransomware usado. 

Igualmente indicaron que esta aleatoriedad es una de las principales características de un complejo y sofisticado Ransomware que se llama BlackCat. 

La aleatoriedad de la extensión sumado a que en anteriores ataques BlackCat se observa el mismo mensaje permite concluir que detrás del ataque está Ransomware pero los detalles más asombroso de esta revelación es que, específicamente este tipo de ataque – posiblemente desarrollado por rusos – se conoce como ransomware as a service (RaaS). 

Mensaje dejado por BlackCat en un ataque analizado por Sophos. Es el mismo mensaje dejado en el ataque a EPM.

Para los lectores sin conocimientos técnicos del tema el concepto ransomware as a service probablemente no diga mucho pero es un tema central en todo lo que está pasando. 

Dentro de los diferentes desarrollos técnicos de Ransomware existen diferentes categorías. Una de estas tiene que ver con la posibilidad de vender el servicio de ataque. Justamente Blackcat es uno de estos servicios de ataque que se venden en el mercado negro. 

Entender que EPM fue atacado por Blackcat abre las posibilidades  para los análisis porque especialmente este tipo de Ransomware se desarrolla, en parte, gracias a la actividad humana dentro los sistemas atacados donde se encuentran vulnerabilidades que se explotan. Esta es una posibilidad según un informe de Microsoft sobre el tema. 

Blackcat tiene registros de ataques a más de 60 organizaciones en todo el planeta. 

Se agradece a las cuatro personas que con su conocimiento técnico y anonimato ayudan a comprender qué pasa.

Más información sobre BlackCat

6 comentarios en «<strong>Epm fue atacado por BlackCat, un sofisticado ransomware relacionado a desarrollos rusos y que se vende como servicio</strong>»

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *