Ciberseguridad: Grupo ransomware BlackMatter presente en Sudamérica y Chile

Estimados Clientes,

El equipo de Ciberseguridad de Netglobalis informa que desde Julio de 2021, se ha observado la aparición de un nuevo grupo de ransomware BlackMatter con campañas a nivel global y nacional con el claro objetivo de hacer dinero con empresas que cuentan con recursos suficientes para pagar su extorsión apuntando a compañías con ganancias anuales de más de USD$100 Millones.

En base a técnicas descritas por MITRE ATT&ACK se identifican los siguientes mecanismos de acción:

Acceso inicial

(T1566) Phishing: Técnica de Ingeniería Social que consiste en envío de mensajes fraudulentos con links de acceso o archivos de descarga para su ejecución comúnmente enviados como spam hacia una organización o “Spear Phishing” específicamente dirigido a un usuario.

Ejecución

(T1204) Ejecución de usuario: Mediante paso previo e Ingeniería Social se convence a la víctima de ejecutar códigos maliciosos alojados en archivos distribuidos mediante phishing o spear phishing.

Descubrimiento

(T1082) Descubrimiento de información del sistema: Durante este paso se recopila información de sistemas y servicios dentro de la red con fin de dar forma a procesos de intrusión posteriores.

Evasión de defensas

(T1497.003) Evasión basada en tiempo:  Se identifican tareas o procesos automatizados que dependen del tiempo para su ejecución, pudiendo pausar o retardar la ejecución de malware con fin de no ser detectados o adaptarse a procesos que cumplan las condiciones para su despliegue.

Impacto

(T1490) Inhibir recuperación de sistema: Consiste en borrar, eliminar o corromper datos del sistema operativo, imágenes de recuperación o la detención de servicios que propicien características de reparación, aumentando el impacto causado.

(T1489) Detención de servicios: Se deshabilitan algunos o todos los servicios de un sistema para hacerlos inaccesibles a usuarios legítimos dificultando su uso y respuesta ante incidentes

(T1486) Encriptación de data: Para todo Ransomware su objetivo es el cifrado de datos que interrumpa la disponibilidad o confidencialidad de recursos de la organización pudiendo así recibir recompensas monetarias por la entrega de clave o herramientas de descifrado

Indicadores de Compromiso

mojobiden[.]com (51.79.243.236)

paymenthacks[.]com (206.188.197.206)

Recomendaciones de Seguridad

• Realice respaldos regularmente y almacenelos de forma segura.
• Manténga el software actualizado y parche inmediatamente vulnerabilidades altas y críticas.
• Implemente un programa de concientización en Ciberseguridad.
• Mantenga un monitoreo continuo de ciberamenazas y detección de vectores de acceso.
• Segmente la red e implemente MFA para todos los accesos remotos y servicios críticos.
• Mantenga un plan de recuperación ante desastres actualizado y probado.
• Implemente un servicio de Ciberinteligencia y Pentesting continuo.