Fotografía de archivo de una nota de rescate con letras recortadas de periódicos y revistas.

La Universidad Estatal A&T de Carolina del Norte, la universidad históricamente negra más grande de los EE. UU., fue atacada recientemente por un grupo de ransomware denominado ALPHV, que ha estado enviando al personal universitario a una lucha durante el último mes para restaurar los servicios.

“Está afectando muchas de mis clases, particularmente porque estoy tomando un par de clases de programación, mis clases han sido canceladas”, dijo Melanie McLellan, estudiante de ingeniería de sistemas industriales, al periódico escolar The A&T Register. «Estaban lejos, todavía no podía hacer mis tareas».

El periódico dijo que la violación ocurrió la semana del 7 de marzo, cuando los estudiantes y profesores estaban de vacaciones de primavera. Los sistemas cerrados por la intrusión incluyeron conexiones inalámbricas, clases de Blackboard, sitios web de inicio de sesión único, VPN, Jabber, Qualtrics, Banner Document Management y Chrome River, muchos de los cuales permanecieron inactivos cuando el periódico estudiantil informó que publicó su historia hace dos semanas.

El informe se produjo un día después de que North Carolina A&T apareciera en un sitio web oscuro que usa ALPHV para nombrar y avergonzar a las víctimas para convencerlas de que paguen un rescate considerable.

alphv ncat

También conocido como Black Cat, ALPHV es relativamente nuevo en la escena del ransomware como servicio, en la que un grupo central de desarrolladores trabaja con afiliados para infectar a las víctimas y luego dividir las ganancias resultantes. Algunos de sus miembros han retratado a ALPHV como el sucesor de los grupos de ransomware BlackMatter y REvil, y el jueves investigadores de la firma de seguridad Kaspersky presentaron evidencia que respalda esa afirmación.

Reutilización de código indignante

Una herramienta de exfiltración utilizada anteriormente exclusivamente por BlackMatter es utilizada por ALPHV/Black Cat, según Kaspersky, y «representa un nuevo punto de datos que conecta a BlackCat con actividades anteriores de BlackMatter». Anteriormente, BlackMatter usaba la llamada herramienta Fendr para recopilar datos antes de cifrarlos en el servidor de la víctima. La exfiltración admite un modelo de doble extorsión que exige el pago no solo de una clave de descifrado, sino también de un pequeño juramento de que los delincuentes no publicarán los datos.

“En el pasado, BlackMatter ha priorizado la recopilación de información confidencial con Fendr para respaldar con éxito su sistema de coerción dual, tal como lo está haciendo BlackCat ahora, y muestra un ejemplo práctico pero descarado de reutilización de malware para llevar a cabo su chantaje de múltiples capas”. Kaspersky escribieron los investigadores. «La modificación de esta herramienta reutilizada demuestra un esquema de planificación y desarrollo más sofisticado para adaptarse a las necesidades de los entornos objetivo que es característico de un programa criminal más efectivo y experimentado».

Kaspersky dijo que el ransomware ALPHV es inusual porque está escrito en el lenguaje de programación Rust. Otra rareza: el único ejecutable de ransomware se compila específicamente para la organización afectada, a menudo solo unas horas antes de la intrusión, por lo que las credenciales recopiladas previamente se codifican en el binario.

La publicación del jueves decía que los investigadores de Kaspersky observaron dos infracciones de AlPHV, una en un proveedor de alojamiento en la nube en el Medio Oriente y la otra en una compañía de petróleo, gas, minería y construcción en América del Sur. Durante el segundo incidente, Kaspersky descubrió el uso de Fendr. Otras violaciones atribuidas a ALPHV incluyen dos proveedores de petróleo alemanes y la marca de moda de lujo Moncler.

A&T es la séptima universidad de EE. UU. afectada por ransomware en lo que va del año. después de Brett Callow, analista de seguridad de la empresa de seguridad Emsisoft. Callow también dijo que al menos ocho distritos escolares también fueron afectados, lo que interrumpió las operaciones en hasta 214 escuelas.



DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

cuatro − uno =