Empresas Públicas de Medellin (EPM), proveedora de agua, gas y electricidad, se ha visto impactada por un ataque del ransomware BlackCat/ALPHV que durante la semana pasada paralizó sus operaciones y cerró sus servicios online.
La compañía, localizada en el municipio de Medellín, pidió a sus más de 4.000 empleados que trabajaran desde casa mientras revelaba a medios locales que EPM reveló a medios locales que estaba respondiendo a un incidente de ciberseguridad. Al mismo tiempo, proponía métodos alternativos para que los clientes paguen por los servicios.
Un documento enviado por EPM a los medios de comunicación y publicado en parte por Semana.com, dice que el impacto del ataque provocó: “Pérdida de control de la plataforma; información encriptada; afectación en la Data Center alterno; pérdida de respaldos; contagio del 25% de la infraestructura (servidores y estaciones de trabajo); pérdida de información (en valoración)”.
BlackCat
Se cree que ALPHV, creador del ransomware BlackCat, es el grupo que está detrás de los ataques. Trabajan bajo el modelo de Ransomware-as-a-Service (RaaS), ofreciendo a otros atacantes acceso a su infraestructura y código malicioso y, a cambio, obtienen una parte del rescate. Además, probablemente los miembros de este grupo también sean responsables de las negociaciones con las víctimas. Por lo tanto, lo único que tendría que hacer su “franquiciado” por sí mismo es acceder al entorno corporativo. Explican en el Blog de Kaspersky que este principio de “tenemos todo bajo control” es la razón por la que BlackCat ha ganado impulso tan rápidamente: su malware ya se usa para atacar a empresas de todo el mundo.
Según los expertos que han analizado el funcionamiento del grupo explica que la herramienta de cifrado, multiplataforma, está escrita en lenguaje Rust; que Fendr es la herramienta con la que extraen los datos de la infraestructura afectada; PsExec la que utilizan para realizar los movimientos laterales en la red de la víctima; y Mimikatz, y Nirsoft para extraer contraseñas de red.
Advierten los expertos sobre la evolución de Fendr, que puede descargar automáticamente una gama mucho más amplia de archivos, en comparación con versiones iniciales. Los ciberdelincuentes añadieron recientemente la capacidad de encontrar archivos con la siguiente lista de extensiones: .sqlite, .catproduct, .rdp, .accdb, .catpart, .catdrawing, .3ds, .dwt y .dxf. Este tipo de archivos están relacionados con aplicaciones de diseño industrial y herramientas de acceso remoto, lo que indica la preferencia de los ciberdelincuentes por atentar contra entornos industriales.
