Un informe interno procedente de la Oficina Federal para la Seguridad de la Información (BSI) ha señalado que el grupo de ransomware BlackCat estaría detrás del reciente ciberataque a dos compañías petroleras alemanas que está afectando a cientos de estaciones de servicio en el Norte de Alemania.
Oiltanking GmbH Group y Mabanaft Group descubrieron el sábado pasado lo que denominaron un “incidente cibernético" que tiró por tierra sus sistemas de TI e iniciaron una investigación junto con especialistas externos. En aquel momento no quisieron dar más detalles sobre la naturaleza de la amenaza.
En el caso de Oiltanking, con 13 parques de tanques distribuidos por toda Alemania, ha tenido que recurrir a puntos de carga alternativos suspendiendo el suministro a camiones. Debido al ataque 233 estaciones de servicio de todo el país ahora tendrían que ejecutar algunos procesos de manera manual.
Ahora el periódico alemán Handelsblatt se ha hecho con un informe interno en el que se indica que "los sistemas de Oiltanking fueron comprometidos por el ransomware BlackCat a través de una puerta de enlace previamente desconocida".
El ransomware más temible de 2021
BlackCat (también llamado ALPHV) fue categorizado como el ransomware más peligroso y sofisticado del año pasado. Varios expertos lo definieron de esa forma al incluir un conjunto de características altamente personalizables que permiten realizar ataques en una amplia gama de entornos corporativos.
BlackCat surgió a mediados de noviembre como un grupo innovador de ransomware como servicio (RaaS) que aprovecha el lenguaje de programación Rust y ofrece a los afiliados un 80-90 % de los pagos de rescate.
El analista de amenazas de Emsisoft, Brett Callow, ha comentado que hay indicios que vinculan a Darkside con otro grupo de ransomware, BlackMatter, que se hizo un nombre el verano pasado y el otoño pasado al atacar a organizaciones agrícolas.
"Es probable que BlackCat, o ALPHV, sea un cambio de marca de BlackMatter, que en sí mismo era un cambio de marca de Darkside", asegura Callow. "Intel sugiere que las personas detrás de la operación despidieron a sus desarrolladores después del error que les costó a ellos, y a sus afiliados, varios millones. Se reclutaron nuevos desarrolladores y fueron responsables del desarrollo de BlackCat", apostilla.
Claudia Wagner, responsable de comunicaciones de Oiltanking GmbH, no ha confirmado que BlackCat estuviera detrás del ciberataque, pero ha señalado que descubrieron el ciberincidente inicial el sábado 29 de enero.