Grupo de ciberdelincuentes “BlackCat” reconoce el ataque a EPM y comienza a filtrar información

En la mañana de hoy 27 de diciembre, el usuario de Twitter Germán Fernández @1ZRR4H publicó mediante un trino pantallazos de la información que, supuestamente, comenzó a filtrar el grupo de ciberdelincuentes BlackCat. Esta publicación realizada en la DeepWeb por parte del grupo, reconoce su autoría en el ataque a las Empresas Públicas de Medellín EPM ocurrido en diciembre de 2022.

Según su perfil de Twitter, Germán Fernández trabaja en inteligencia de ciberamenazas por parte de hackers y es investigador de Seguridad en CronUp.com. En la mañana del martes compartió imágenes que evidencian la herramienta de exfiltración utilizada por el grupo BlackCat. La muestra publicada, según el experto, se subió desde Colombia y el servidor quedó expuesto durante unas horas, por lo que se revelaron algunos archivos robados.

Luego de los ataques, EPM no ha logrado restablecer por completo el sistema de su sitio web, como tampoco su aplicativo móvil. Ni la empresa ni el alcalde de Medellín, Daniel Quintero, se han pronunciado sobre el ataque y los daños sufridos a la infraestructura tecnológica.

Le puede interesar: Salir a comer en restaurantes será más costoso en 2023 debido al cobro del impuesto al consumo

El 19 de abril de 2022, el Buró Federal de Investigaciones FBI, por sus siglas en inglés, se pronunció sobre las actividades del grupo conocido como BlackCat, Noberus y AlphaV. En su anuncio, comentó que el ransomware ha sido utilizado, en al menos, 60 ataques a organizaciones en todo el mundo.

En este ransomware los ciberdelincuentes utilizan técnicas de cifrado que añaden algunas medidas de seguridad adicionales para dificultar el descifrado de los archivos. Para evitar que los archivos sean abiertos, el grupo incluye el uso de dos algoritmos de cifrado diferentes y la garantía de que la clave de descifrado nunca se almacena en la misma unidad que los archivos.

Los ataques del grupo de ciberdelincuentes parecen estar dirigidos a empresas y organizaciones más que a usuarios normales, lo que les da la ventaja de que las organizaciones estén más dispuestas a pagar el rescate que solicitan.

Le puede interesar: En 2022 se hicieron en Bogotá 2.976 obras en relación a la movilidad con una inversión de $424.000 millones

En los ataques, los ciberdelincuentes se han enfocado en robar propiedad intelectual e información personal de empresas que trabajan en los sectores de la construcción e ingeniería, comercio minorista, transporte, servicios comerciales, seguros y maquinaria.

El FBI tiene información de ataques en países de Europa, Filipinas y Estados Unidos.

El ransomware puede enviarse por correo electrónico o a través de un sitio web que ha sido pirateado, una vez dentro del sistema, el malware encripta todos los archivos del usuario y muestra una alerta indicando que el usuario ha violado las leyes federales, lo que provoca el bloqueo de su ordenador.

Le puede interesar: Roy Barreras anunció que un senador del Pacto Histórico va a renunciar: “se decidió a Gobernar en lugar de legislar”

Con los archivos encriptados, el atacante informa al usuario que, para desbloquear su ordenador, debe pagar una cifra mediante bitcoin o alguna otra criptomoneda.

La razón de que los delincuentes que utilizan este tipo de estafa tengan éxito, es por que la mayoría de las víctimas no denuncian cuando se infectan con el ransomware; sino por el contrario, intentan solucionar el problema ellos mismos pagando el rescate.

Seguir leyendo: