+- GETOVERX FORUM Community Support (https://forum.getoverx.com)
+-- Forum: Malware Docs (https://forum.getoverx.com/forumdisplay.php?fid=12)
+--- Forum: Ransomware (https://forum.getoverx.com/forumdisplay.php?fid=16)
+--- Thread: BlackCat / ALPHV (/showthread.php?tid=103)
BlackCat / ALPHV - mrwebfeeder - 12-05-2025
Nombre: BlackCat (ALPHV)
Categoría: Ransomware (RaaS, triple extorsión)
Fecha de descubrimiento: Noviembre–Diciembre 2021
Comportamiento (lo que hace y archivos que infecta):
BlackCat/ALPHV es una familia de ransomware escrita en Rust, ofrecida como servicio a afiliados. Se utiliza principalmente en ataques dirigidos contra organizaciones. Compromete servidores y estaciones de trabajo, cifra documentos, bases de datos, repositorios de proyectos, máquinas virtuales y copias de seguridad accesibles. Además, suele robar datos antes del cifrado y amenaza con publicarlos (triple extorsión).
Persistencia:
En muchos incidentes el despliegue se realiza manualmente por el atacante después de obtener privilegios de administrador o dominio, por lo que la “persistencia” viene dada por cuentas comprometidas, backdoors, herramientas de acceso remoto y tareas programadas. También se han observado servicios y jobs diseñados para relanzar el binario en cada reinicio.
Hash real de referencia (SHA-256):
Muestra pública etiquetada como ALPHV/BlackCat:
Code:
cefea76dfdbb48cfe1a3db2c8df34e898e29bec9b2c13e79ef40655c637833aeMitigación con GetOverX Shield v3.0.2.0 o Superior:
-
[] Antivirus y EDR: Realizar escaneo completo en todos los endpoints y servidores asociados al incidente. Activar la monitorización avanzada en el EDR para detectar cifradores masivos y accesos anómalos a volúmenes de red. [] HIPS: Configurar reglas para bloquear ejecución de binarios desde rutas temporales, perfiles de usuario y shares, así como scripts con comportamiento de cifrado intensivo. [] Firewall y aislamiento: Usar el módulo de firewall para aislar inmediatamente el host comprometido (bloqueo de todo tráfico salvo hacia el servidor de gestión) y reducir movimiento lateral. [] Sandbox: Analizar cualquier ejecutable extraño usado por administradores o procesos remotos antes de desplegarlo en más equipos.
- Post-incidente: Forzar cambio de contraseñas de cuentas privilegiadas, revocar sesiones RDP y limpiar herramientas de acceso remoto no autorizadas, además de restaurar desde backups offline verificados.