BlackCocaine Ransomware, un nuevo malware en el panorama de amenazas
Los investigadores de Cyble investigaron un ataque reciente a una empresa de TI con sede en India que fue atacada por la banda BlackCocaine Ransomware.
Recientemente, los investigadores cibernéticos de Cyble investigaron un ataque sufrido el 30 de mayo de 2021 por Nucleus Software, una empresa de TI con sede en India en el sector de servicios bancarios y financieros.
La empresa informó de la violación de seguridad a la Bolsa de Valores de Bombay (BSE) y la Bolsa de Valores Nacional de la India (NSEI). Nucleus Software declaró que no almacena los datos financieros de los clientes.
El equipo de Cyble Research descubrió que la empresa era víctima de la banda BlackCocaine Ransomware.
Al igual que otras bandas de ransomware, la banda de ransomware detra s de esta amenaza también opera su propio sitio (hxxp: // blackcocaine [.] Top) que se registró recientemente para el inicio de las operaciones del grupo.
“Según el ana lisis, el equipo de investigación de Cyble descubrió que Nucleus Software es la primera víctima del grupo de ransomware BlackCocaine”.
Los investigadores informaron que recientemente se envió un archivo llamado a.BlackCocaine a diferentes entornos sandbox públicos.
El Ransomware realiza la enumeración del sistema de archivos mientras cifra los archivos de la víctima, luego agrega la extensión ” .BlackCocaine ” a los nombres de los archivos cifrados. Los investigadores informaron que el ransomware utiliza los métodos de cifrado AES y RSA.
Una vez cifrado el archivo, el ransomware arroja notas de rescate con el nombre de archivo
“HOW_TO_RECOVER_FILES.BlackCocaine.txt” en la ma quina de la víctima.
El ransomware BlackCocaine esta escrito en lenguaje Go y se cumple con la herramienta MinGW. El archivo de carga útil es un archivo ejecutable de Windows de 64 bits empaquetado con UPX.
La carga útil del ransomware se compiló el 29 de mayo de 2021. El ransomware implementa múltiples técnicas anti-VM y anti-depuración.
En el momento de escribir este artículo, los expertos aún tienen que determinar el vector de infección inicial de BlackCocaine.
“BlackCocaine es la última incorporación al grupo de ransomware y parece ser una de las cepas de malware ma s sofisticadas y activas”. concluye el informe. “Esta familia de ransomware sigue el mismo modelo de cifrado del lado del servidor para bloquear los documentos del usuario y exigir un rescate”.
FUENTE: securityaffairs