El ransomware envió a la Universidad A&T de Carolina del Norte a luchar para restaurar los servicios

Fotografía de archivo de una nota de rescate con letras recortadas de periódicos y revistas.

La Universidad Estatal A&T de Carolina del Norte, la universidad históricamente negra más grande de los EE. UU., fue atacada recientemente por un grupo de ransomware llamado ALPHV, lo que envió al personal de la universidad a una lucha para restaurar los servicios el mes pasado.

“Está afectando muchas de mis clases, especialmente porque tomo un par de clases de codificación, mis clases han sido canceladas”, Melanie McLellan, estudiante de ingeniería de sistemas industriales, dicho el periódico escolar, The A&T Register. “Han sido a distancia, todavía no he podido hacer mis tareas”.

El periódico dijo que la violación ocurrió la semana del 7 de marzo mientras los estudiantes y profesores estaban de vacaciones de primavera. Los sistemas derribados por la intrusión incluyeron conexiones inalámbricas, instrucciones de Blackboard, sitios web de inicio de sesión único, VPN, Jabber, Qualtrics, Banner Document Management y Chrome River, muchos de los cuales permanecieron inactivos cuando el periódico estudiantil publicó su historia hace dos semanas.

El informe se produjo un día después de que North Carolina A&T apareciera en un sitio de red oscura que ALPHV usa para nombrar y avergonzar a las víctimas en un intento de persuadirlas de que paguen un rescate considerable.

ALPHV, que también se conoce con el nombre de Black Cat, es relativamente nuevo en la escena del ransomware como servicio, en la que un grupo central de desarrolladores trabaja con afiliados para infectar a las víctimas y luego dividir las ganancias resultantes. Algunos de sus miembros han retratado a ALPHV como un sucesor de los grupos de ransomware BlackMatter y REvil, y el jueves, los investigadores de la firma de seguridad Kaspersky presentaron evidencia que respaldaba esa afirmación.

Reutilización de código descarado

Una herramienta de exfiltración utilizada anteriormente exclusivamente por BlackMatter, kaspersky dijo, está siendo utilizado por ALPHV/Black Cat y “representa un nuevo punto de datos que conecta a BlackCat con la actividad anterior de BlackMatter”. Anteriormente, BlackMatter usaba la llamada herramienta Fendr para recopilar datos antes de cifrarlos en el servidor de la víctima. La exfiltración respalda un modelo de doble extorsión que requiere un pago no solo por una clave de descifrado, sino también por un juramento meñique de que los delincuentes no harán públicos los datos.

“En el pasado, BlackMatter priorizó la recopilación de información confidencial con Fendr para respaldar con éxito su esquema de doble coerción, tal como lo está haciendo ahora BlackCat, y demuestra un ejemplo práctico pero descarado de reutilización de malware para ejecutar su chantaje de múltiples capas”. escribieron los investigadores de Kaspersky. “La modificación de esta herramienta reutilizada demuestra un régimen de planificación y desarrollo más sofisticado para adaptar los requisitos a los entornos objetivo, característico de un programa criminal más efectivo y experimentado”.

Kaspersky dijo que el ransomware ALPHV es inusual porque está escrito en el lenguaje de programación Rust. Otra rareza: el ejecutable individual del ransomware se compila específicamente para la organización a la que se dirige, a menudo solo unas horas antes de la intrusión, de modo que las credenciales de inicio de sesión recopiladas previamente se codifican en el binario.

La publicación del jueves decía que los investigadores de Kaspersky habían observado dos violaciones de AlPHV, una en un proveedor de alojamiento en la nube en el Medio Oriente y la otra contra una compañía de petróleo, gas, minería y construcción en América del Sur. Fue durante el segundo incidente que Kaspersky detectó el uso de Fendr. Otras infracciones atribuidas a ALPHV incluyen dos proveedores de petróleo alemanes y marca de moda de lujo Moncler.

A&T es la séptima universidad o facultad de EE. UU. en ser atacada por ransomware en lo que va del año, según Brett Callow, analista de seguridad de la empresa de seguridad Emsisoft. Callow también dijo que al menos ocho distritos escolares también han sido afectados, interrumpiendo las operaciones en hasta 214 escuelas.

Leave a Reply

Your email address will not be published. Required fields are marked *