El grupo de ransomware BlackCat ha estado adaptando e innovando continuamente sus operaciones maliciosas, lo que lo convierte en un desafío formidable para los expertos en ciberseguridad. Hallazgos recientes de la Unidad 42 de Palo Alto Networks revelan que los operadores de BlackCat han estado perfeccionando consistentemente sus herramientas de ransomware durante los últimos dos años. Una de sus herramientas más recientes, llamada ‘Munchkin’, aprovecha un sistema operativo basado en Linux para ejecutar BlackCat en máquinas remotas, específicamente para cifrar las comparticiones SMB/CIFS.
Munchkin opera de manera única: viene como un archivo ISO cargado con Alpine OS, que luego se utiliza a través de VirtualBox debido a su naturaleza compacta. Una vez activado, el malware modifica la contraseña de root de la VM, inicia una nueva sesión de terminal usando tmux, ejecuta el binario ‘controller’ y posteriormente apaga la VM. El malware controlador, que es similar a BlackCat, descifra cadenas y verifica archivos de configuración y de carga en el directorio /app. Luego crea y monta el directorio /payloads/ para instancias personalizadas de BlackCat basadas en una plantilla encontrada en /app/payload. Después de su ejecución, la VM se apaga. Curiosamente, se descubrió un mensaje incrustado dentro del malware, pero permanece sin usar, lo que sugiere que a los afiliados se les podría instruir para eliminarlo de los sistemas comprometidos.
Esta evolución por parte de los desarrolladores de ransomware de BlackCat es indicativa de una tendencia más amplia en la comunidad de malware. Cada vez más, los ciberdelincuentes están aprovechando las máquinas virtuales (VM) para eludir las medidas de seguridad, manteniéndose un paso por delante de la comunidad de ciberseguridad. La introducción de herramientas como Munchkin subraya la necesidad de que las organizaciones permanezcan vigilantes y proactivas en sus esfuerzos de ciberseguridad.
Source: Cyber Security News
Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net o puede intentarlo usted mismo utilizando check.website.