BlackCat Ransomware Utiliza Nueva Herramienta ‘Munchkin’
Despliegue Sigiloso con Munchkin
La operación BlackCat/ALPHV ransomware incorpora la herramienta ‘Munchkin’, una máquina virtual (VM) que facilita la ejecución de cifradores en dispositivos de red de forma sigilosa. Esta nueva adición amplía las capacidades de la operación RaaS, haciéndola más atractiva para ciberdelincuentes en busca de afiliarse al ransomware.
Munchkin en Acción
La herramienta Munchkin utiliza una distribución de Linux personalizada basada en Alpine OS. Después de comprometer un dispositivo, los actores de amenazas instalan VirtualBox y crean una nueva máquina virtual con el archivo ISO de Munchkin. Esta VM permite a los atacantes realizar diversas acciones, como la recopilación de contraseñas, propagación lateral en la red y la creación de un cifrador BlackCat ‘Sphynx’.
Configuración y Ejecución
El binario de malware ‘controller’, basado en Rust, se ejecuta al inicio y carga scripts utilizados en el ataque. El ‘controller’ utiliza un archivo de configuración que proporciona credenciales de acceso, tokens de autenticación y directivas de configuración. Este archivo guía la generación de ejecutables de cifradores personalizados de BlackCat, que se envían a dispositivos remotos para cifrar archivos o comparticiones de red SMB y CIFS.
Advertencia de Seguridad
El código del malware contiene un mensaje de los autores de BlackCat a sus colaboradores, instándolos a no dejar el archivo ISO en los sistemas objetivo debido a la falta de cifrado para la configuración. Advierten sobre el riesgo de fuga de tokens de acceso al chat.
Evolución Continua de BlackCat
BlackCat, emergido en 2021, ha evolucionado como una operación ransomware sofisticada. Sus características avanzadas incluyen cifrado intermitente altamente configurable, API de filtración de datos, integración de Impacket y Remcom, y cifradores con soporte para credenciales personalizadas.
Conclusión
Se destaca la adaptabilidad de BlackCat para superar soluciones de seguridad. La modularidad de Munchkin y su capacidad para ajustarse a objetivos específicos demuestran la continua evolución de BlackCat como una amenaza significativa en el panorama del ransomware.
Recuerda que estaremos publicando constantemente en nuestro blog más contenido sobre tecnología.
Puedes encontrarnos en Facebook y Linkedln para más contenido relacionado con seguridad en internet y muchos temas más.