BlackMagic ransomware y el negocio del robo de datos

Un nuevo grupo de ransomware llamado BackMagic ha sido identificado durante ejercicios rutinarios de threat-hunting por CRIL (Cyble Research and Intelligence Labs). Conforme el artículo publicado en la web de Cyble, este grupo podría estar realizando ataques dirigidos contra los sectores de transporte y logística Israelíes. 

Los intereses del grupo por ahora parecen dirigirse a la venta de la información robada en diferentes foros, no pidiendo rescate por los datos en su nota tras la infección. El objetivo en este caso de usar un ransomware para la infección parece ser inhabilitar las bases de datos de las compañías afectadas, y a la vez hacerse notar. A tal efecto, el ransomware es un vehículo como podría serlo cualquier otro para impedir el acceso a los legítimos propietarios de los datos. Cabe preguntarse si, de existir otra vía más nociva y de fácil despliegue BlackMagic la usaría en lugar de usar ransomware.  

El grupo asegura estar en posesión de datos sensibles del 65% de los ciudadanos israelíes. Algo que da bastante para pensar: los ataques dirigidos contra las administraciones públicas permiten la obtención de datos de ciudadanos de forma masiva, pero obviamente no son el único camino para conseguir dicho objetivo. 

El artículo publicado también contiene detalles técnicos de una de las muestras empleadas por los autores. En el momento de redacción de esta UAD dicha muestra es identificada por 49 de los 70 motores antivirus.

El comportamiento del malware se asemeja al de otras muestras, intentando evadir su ejecución en sandbox para dificultar su detección y posterior análisis, y parando la ejecución de procesos específicos. Durante la infección el malware comunica con un servidor externo y posteriormente cifra el contenido de los discos que identifica durante el reconocimiento inicial, incluyendo ficheros ejecutables, salvo algunos específicos (requeridos por el sistema).  

Aspectos destacables 

Habitualmente se relaciona ransomware con robo de datos pero también con su rescate, la posibilidad de la víctima de negociar con el atacante una salida airosa tras la brecha de seguridad. A pesar de que siempre se recomiende no negociar con los atacantes, para muchas empresas es eso o la bancarrota. 

Este es un ejemplo de ataque que se basa en ransomware, pero cuyo objetivo no es lucrarse de forma inmediata por medio de la víctima directa, sino la venta de sus datos a terceros. De hecho, el ransomware, como se ha mencionado, es sólo un instrumento que sirve a múltiples propósitos, y algunos autores que persigan la mera destrucción podrían emplear malware más nocivo. En la mayoría de casos el ransowmare simplemente es la vía cómoda. Mientras más se conozca sobre la organización, más daño podría hacerse. 

Este ejemplo sirve para hablar de otro tipo de malware, que igual no hace tanto ruido como el ransomware porque siempre estuvo ahí, pero del que ya hay algunos artículos que se centran en su problemática. 

Stealers: malware que no destruirá pero sí robará

El robo de datos, ya sea para la obtención de credenciales o bien otra información sensible, es muy antiguo. Es un comportamiento habitual en troyanos. A finales de noviembre se publicaba un artículo hablando de plataforma empleadas por stealers, malware cuya principal función es robar información sensible. De hecho, hay familias de malware centradas en esto a las que no se presta tal vez la atención debida porque otras hacen más ruido. 

El artículo en cuestión sobre los stealers es muy curioso por varios motivos. Primero, porque muestra cómo haciendo uso de servicios como Shodan podemos obtener información sobre la actividad registrada de los stealers, que se dejan reconocer por el patrón de búsqueda. Veremos los patrones que se pueden emplear para obtener información de malware conocido de este tipo (como Misha Stealer o Patriot Stealer) en servicios como Shodan o URLscan. El segundo punto de interés radica en el conocimiento explícito de que este malware es parte de la cadena que permite o facilita acciones más complejas en los sistemas llevadas a cabo por los atacantes especialmente motivados.

Conclusiones

Hemos aprovechado el contexto que nos ofrecía un grupo de ransomware cuyo objetivo por ahora no es lucrarse de la víctima de forma directa, sino vender sus datos a terceros, para recordar que hay formas más sigilosas de robo de datos. Además, no sólo los ataques contra administraciones públicas permiten la obtención de datos de ciudadanos. Tal y como proliferan las diferentes formas de malware no sería descabellado preparar los sistemas como si ya estuviésemos comprometidos.

Más información:

• New ransomware disrupting transportaion and logistics industry in Israel. 7 de diciembre 2022. https://blog.cyble.com/2022/12/07/a-closer-look-at-blackmagic-ransomware/
• Detecting and Fingerprinting Infostealer Malware-as-a-Service platforms. 26 de noviembre 2022. https://blog.bushidotoken.net/2022/11/detecting-and-fingerprinting.html

La entrada <strong>BlackMagic ransomware y el negocio del robo de datos</strong> se publicó primero en Una al Día.