El ransomware evoluciona rápidamente. Estas amenazas basadas en la extorsión a las víctimas suelen dar lugar a otras nuevas más peligrosas.
BlackCat (también llamada ALPHV o Noberus), una de las pandillas de ransomware más activas últimamente (un estudio de Black Kite asegura que es el segundo grupo principal por detrás de LockBit) habría trabajado para crear una nueva amenaza.
La variante de BlackCat mejorada destaca por ser mucho más rápida y moverse con mayor sigilo, para tratar de esquivar las barreras de seguridad y lograr sus objetivos.
Además, es capaz de incorporar código basura y cadenas encriptadas, mientras que también reelabora los argumentos de la línea de comandos pasados al binario.
Por otro lado, incluye un loader para descifrar la carga útil del ransomware que, al ejecutarse, realiza actividades de descubrimiento de red para buscar sistemas adicionales, elimina instantáneas de volumen, cifra archivos y, finalmente, libera la nota de rescate.
La nueva versión ha sido denominada Sphynx y fue anunciada durante el mes de febrero. Los investigadores de la unidad de ciberseguridad IBM Security X-Force explican que incluye "una cantidad de capacidades actualizadas que fortalecen los esfuerzos del grupo para evadir la detección".
Hace unas semanas la firma de seguridad Trend Micro habló sobre una versión Linux de Sphynx centrada principalmente en "su rutina de cifrado".
El segundo grupo de ransomware más activo
BlackCat lleva activo desde noviembre de 2021 y es el primer ransomware basado en lenguaje Rust. Aunque nació a finales del ejercicio, fue considerado como el ransomware más peligroso de dicho año.
Se calcula que hasta el pasado mes de mayo había apuntado contra más de 350 objetivos. Algunos de ellos son el proveedor de sistemas de pago NCR, el contratista de defensa indio Solar Industries o el fabricante de juguetes Jakks Pacific.
La pandilla del 'gato negro' suele usar técnicas de doble extorsión y, según recuerda The Hacker News, se sirve de herramientas personalizadas de filtración de datos, como ExMatter, para desviar datos confidenciales antes del cifrado.
Tanto Talos como Kaspersky le atribuyen cierto parentesco a la familia de ransomware BlackMatter, por algunas superposiciones.