febrero 21, 2024

El ransomware envió a la Universidad A&T de Carolina del Norte para intentar restaurar los servicios

Fotografía de archivo de una nota de rescate con letras recortadas de periódicos y revistas.

La Universidad Estatal A&T de Carolina del Norte, la universidad históricamente negra más grande de los Estados Unidos, fue atacada recientemente por un grupo de ransomware llamado ALPHV, que envió al personal de la universidad a toda prisa para restaurar los servicios el mes pasado.

“Está afectando muchas de mis clases, especialmente porque tomo un par de clases de programación, mis clases han sido canceladas”, dijo Melanie McLellan, estudiante de ingeniería de sistemas industriales, al periódico de la escuela, The A&T Register. “Han estado a distancia, yo todavía no he podido hacer mi tarea”.

El periódico dijo que la violación ocurrió la semana del 7 de marzo mientras los estudiantes y profesores estaban de vacaciones de primavera. Los sistemas bloqueados contra la intrusión incluían conexiones inalámbricas, instrucciones de Blackboard, sitios web de inicio de sesión único, VPN, Jabber, Qualtrics, Banner Document Management y Chrome River, muchos de los cuales quedaron inactivos cuando el periódico estudiantil publicó su historia de dos semanas.

El informe se produjo el día después de que A&T de Carolina del Norte apareciera en un sitio de red oscura que ALPHV usa para nombrar y avergonzar a las víctimas en un esfuerzo por lograr que paguen un rescate considerable.

ALPHV, también llamado Black Cat, es relativamente nuevo en la escena del ransomware como servicio, donde un grupo central de desarrolladores trabaja con afiliados para infectar a las víctimas y luego dividir las ganancias resultantes. Algunos de sus miembros han descrito a ALPHV como un sucesor de los grupos de ransomware BlackMatter y REvil, y el jueves, los investigadores de la firma de seguridad Kaspersky presentaron evidencia para respaldar esa afirmación.

Reutilización flagrante de código

Una herramienta de exfiltración utilizada anteriormente exclusivamente por BlackMatter, dijo Kaspersky, es utilizada por ALPHV / Black Cat y “representa un nuevo punto de datos que conecta a BlackCat con el negocio anterior de BlackMatter”. Anteriormente, BlackMatter usaba la llamada herramienta Fendr para recopilar datos antes de cifrarlos en el servidor de la víctima. La exfiltración admite un modelo de doble extorsión que requiere el pago no solo de una clave de descifrado, sino también de un dedo meñique que jura que los delincuentes no harán públicos los datos.

“En el pasado, BlackMatter ha priorizado la recopilación de información confidencial con Fendr para respaldar con éxito su esquema de doble coerción, tal como lo está haciendo BlackCat, y demuestra un ejemplo práctico pero flagrante de reutilización de malware para llevar a cabo su chantaje a más niveles”, escribieron los investigadores de Kaspersky. . “La modificación de esta herramienta reutilizada demuestra un régimen de planificación y desarrollo más sofisticado para adaptar los requisitos a los entornos de destino, característicos de un programa criminal más efectivo y experimentado”.

Kaspersky dijo que el ransomware ALPHV es inusual porque está escrito en el lenguaje de programación Rust. Otra rareza: el ejecutable único del ransomware se compila específicamente para la organización objetivo, a menudo horas antes de la intrusión, de modo que las credenciales de inicio de sesión recopiladas previamente se codifican en binario.

La publicación del jueves afirmaba que los investigadores de Kaspersky habían observado dos infracciones de AlPHV, una en un proveedor de alojamiento en la nube en el Medio Oriente y la otra contra una compañía de petróleo, gas, minería y construcción en América del Sur. Fue durante el segundo incidente que Kaspersky se hizo cargo del uso de Fendr. Otras violaciones atribuidas a ALPHV incluyen dos proveedores de petróleo alemanes y la marca de moda de lujo Moncler.

El A&T es la séptima universidad o colegio en los Estados Unidos que se ha visto afectado por ransomware en lo que va del año, según Brett Callow, analista de seguridad de la empresa de seguridad Emsisoft. Callow también dijo que al menos ocho distritos escolares también se vieron afectados, lo que interrumpió las operaciones en hasta 214 escuelas.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *