BlackCat/ALPHV: El Primer Ransomware Major Escrito en Rust
Análisis técnico de BlackCat/ALPHV: el primer ransomware de primer nivel escrito en Rust. Cross-platform (Windows, Linux, ESXi), cifrado configurable, innovaciones en extorsión (queja a la SEC, leak sites buscables) y el exit scam de 22 millones USD.
Rust como arma: innovación técnica al servicio del crimen
BlackCat, también conocido como ALPHV o Noberus, apareció en noviembre de 2021 y rápidamente se posicionó como uno de los programas RaaS más sofisticados. Su decisión de escribir el ransomware en Rust no fue cosmética: fue una decisión arquitectónica que le daba ventajas técnicas concretas sobre competidores escritos en C o C++.
Más allá del lenguaje, BlackCat innovó en tácticas de extorsión con una agresividad sin precedentes: leak sites buscables donde los empleados podían encontrar sus propios datos, quejas formales ante reguladores financieros, y un exit scam que robó 22 millones de dólares a uno de sus propios afiliados.
Origen: la línea DarkSide - BlackMatter - ALPHV
BlackCat no surgió de la nada. La evidencia conecta al grupo con una línea de sucesión clara:
| Grupo | Período | Evento clave |
|---|---|---|
| DarkSide | Ago 2020 - May 2021 | Ataque a Colonial Pipeline. Presión de EEUU, cese de operaciones |
| BlackMatter | Jul 2021 - Nov 2021 | Rebrand de DarkSide. Cerró tras presión de law enforcement |
| BlackCat/ALPHV | Nov 2021 - Mar 2024 | Nuevo ransomware en Rust. Mismo equipo core rebranded |
La evidencia que vincula los tres grupos:
- Similitudes en el código de los builders y paneles de administración
- Infraestructura C2 con patrones similares
- Mensajes en foros underground donde un representante de ALPHV admitió conexiones con operaciones anteriores
- Análisis de flujos de criptomonedas que conectan wallets de los tres grupos
- TTPs consistentes entre las operaciones
Por qué Rust: ventajas técnicas
Compilación cross-platform
El mismo codebase Rust compila nativamente para:
- Windows (x86_64-pc-windows-msvc)
- Linux (x86_64-unknown-linux-gnu)
- ESXi (x86_64-unknown-linux-musl, con static linking)
- ARM (aarch64-unknown-linux-gnu)
Esto elimina la necesidad de mantener codebases separados para cada plataforma, como hacían LockBit y Conti (versiones separadas en C para Windows y Linux).
Rendimiento
Rust produce binarios con rendimiento comparable a C/C++ gracias a su modelo de zero-cost abstractions y compilación LLVM. Para operaciones intensivas de I/O como el cifrado de archivos, Rust ofrece:
- Async I/O nativo con Tokio (usado en variantes de red)
- Paralelismo seguro sin data races (ownership system)
- Sin overhead de garbage collector
Evasión de antivirus
En 2021-2022, la mayoría de engines antivirus tenían capacidades limitadas para analizar binarios Rust:
- Las convenciones de llamada y el mangling de nombres en Rust difieren de C/C++
- Las estructuras de datos de Rust (enums, Option, Result) generan patrones de código máquina diferentes
- Las librerías estándar de Rust incluyen código de runtime que infla el binario y diluye las firmas
- Las herramientas de reverse engineering (IDA, Ghidra) tenían soporte limitado para Rust
Para 2024-2025, los engines han mejorado significativamente su detección de malware Rust, pero en 2021 era una ventaja real.
Seguridad de memoria
Paradójicamente, la seguridad de memoria de Rust beneficia al desarrollo de malware. Los bugs de corrupción de memoria que causan crashes en malware escrito en C (buffer overflows, use-after-free, double-free) no existen en Rust seguro. El ransomware necesita ser fiable: un crash durante el cifrado deja archivos parcialmente cifrados que pueden ser recuperables.
Arquitectura técnica
Configuración embebida
BlackCat embebe su configuración en el propio binario, cifrada con AES. La configuración es un JSON que especifica:
{
"extension": ".alphv",
"note_file_name": "RECOVER-{EXT}-FILES.txt",
"note_content": "[nota de rescate personalizada]",
"credential_domains": ["dominio1.com", "dominio2.com"],
"default_file_note": "...",
"kill_services": ["sql", "veeam", "backup", "exchange"],
"kill_processes": ["sql", "oracle", "ocssd", "dbsnmp"],
"exclude_directories": ["windows", "program files", "$recycle.bin"],
"exclude_extensions": [".exe", ".dll", ".sys", ".lock"],
"exclude_filenames": ["ntldr", "bootmgr", "desktop.ini"],
"enable_network_discovery": true,
"enable_self_propagation": true,
"enable_set_wallpaper": true,
"encryption_mode": "Auto",
"public_key": "[RSA public key del operador]"
}
El encryption_mode acepta valores como Full, HeadOnly, DotPattern, SmartPattern y Auto (que selecciona automáticamente basándose en el tamaño del archivo).
Modos de cifrado
| Modo | Descripción | Uso recomendado |
|---|---|---|
| Full | Cifra el archivo completo | Archivos pequeños (menos de 1,5 MB) |
| HeadOnly | Solo los primeros N bytes | Archivos medianos |
| DotPattern | Cifra un bloque, salta otro, repite | Archivos grandes |
| SmartPattern | Adapta el patrón al tamaño del archivo | Modo automático |
| Auto | Selecciona automáticamente el modo | Configuración por defecto |
Algoritmos criptográficos
BlackCat soporta múltiples configuraciones:
- AES-128-CTR + RSA-2048: modo rápido
- AES-256-CTR + RSA-4096: modo seguro
- ChaCha20 + RSA-2048: alternativa para sistemas sin AES-NI
Cada archivo recibe una clave simétrica única generada con el CSPRNG del sistema operativo. La clave se cifra con la clave pública RSA y se almacena junto al archivo cifrado.
Propagación en red
BlackCat incluye capacidades de auto-propagación:
- Enumera hosts en la red local y dominios configurados
- Intenta autenticarse con credenciales embebidas en la configuración
- Usa PsExec o WMI para copiar y ejecutar el payload en hosts accesibles
- Cifra shares de red montados y descubiertos
Innovaciones en extorsión
Leak sites buscables
BlackCat fue pionero en crear leak sites donde los datos robados eran indexados y buscables. En vez de publicar un archivo ZIP de datos, crearon interfaces web donde:
- Los empleados podían buscar su nombre para ver si sus datos estaban comprometidos
- Los clientes de la víctima podían verificar si sus datos aparecían en la filtración
- Los periodistas podían explorar los datos fácilmente para escribir artículos
Esta táctica multiplicaba la presión: los empleados presionaban a la dirección para pagar, los clientes amenazaban con demandar, y los medios amplificaban la exposición.
Queja ante la SEC (noviembre 2023)
En noviembre de 2023, BlackCat presentó una queja formal ante la SEC (Securities and Exchange Commission) contra MeridianLink, una empresa de software financiero cotizada en bolsa. La queja alegaba que MeridianLink no había reportado el breach en el plazo de 4 días hábiles que exigen las nuevas reglas de la SEC (vigentes desde diciembre 2023).
Fue la primera vez documentada que un grupo de ransomware usó un regulador como arma contra su víctima. La táctica generó cobertura mediática masiva y estableció un precedente preocupante.
APIs de datos robados
Algunas variantes del leak site de ALPHV ofrecían APIs para acceder programáticamente a los datos robados. Esto facilitaba:
- Descarga automatizada por competidores de la víctima
- Integración en herramientas de OSINT
- Mayor difusión de los datos
Ataques notables
| Víctima | Fecha | Impacto | Resultado |
|---|---|---|---|
| Change Healthcare | Feb 2024 | Procesamiento de recetas médicas en EEUU paralizado. 100+ millones de registros de pacientes | Pagó 22M USD. Luego ALPHV hizo exit scam |
| MGM Resorts | Sep 2023 | Casinos y hoteles de Las Vegas offline durante días | No pagó. Pérdidas estimadas 100M USD |
| Caesars Entertainment | Sep 2023 | Datos de programa de lealtad robados | Pagó 15M USD (de 30M demandados) |
| MeridianLink | Nov 2023 | Queja SEC presentada por el grupo | No pagó |
| Feb 2023 | 80 GB de datos internos robados | No pagó. Datos publicados | |
| Western Digital | Mar 2023 | 10 TB de datos robados | No pagó |
MGM vs Caesars: el contraste
Los ataques a MGM y Caesars ocurrieron casi simultáneamente (septiembre 2023) y fueron ejecutados por el mismo afiliado: Scattered Spider (UNC3944), un grupo anglófono de jóvenes hackers que usaba social engineering avanzado.
- Caesars pagó rápido (15 millones) y minimizó la disrupción
- MGM se negó a pagar, sufrió semanas de interrupción (llaves de habitación, máquinas tragaperras, reservas) con pérdidas estimadas en 100 millones USD
El contraste ilustra el dilema de las víctimas de ransomware: pagar es más barato a corto plazo pero financia futuros ataques.
El exit scam: marzo 2024
Change Healthcare: 22 millones USD
En febrero de 2024, un afiliado de ALPHV atacó Change Healthcare, subsidiaria de UnitedHealth Group que procesa un tercio de todas las recetas médicas en Estados Unidos. El impacto fue masivo: farmacias no podían procesar recetas, hospitales no podían verificar seguros, y pacientes no podían obtener medicamentos.
UnitedHealth pagó un rescate de 22 millones USD en Bitcoin.
La traición
En marzo de 2024, en vez de repartir los fondos con el afiliado según el acuerdo (80/20 o 90/10), los operadores de ALPHV:
- Pusieron un banner en su leak site simulando un takedown del FBI ("This site has been seized")
- Copiaron el diseño exacto de los banners reales de incautación del FBI
- Transfirieron los 22 millones USD a wallets propios
- Desaparecieron
El afiliado (identificado en foros como "notchy" o "affiliatexxxx") publicó mensajes en RAMP Forum denunciando el robo y afirmando que todavía tenía 4 TB de datos de Change Healthcare. Posteriormente ofreció los datos a otros grupos, y RansomHub publicó parte de ellos.
Verificación del exit scam
Investigadores de seguridad y el propio FBI confirmaron que el banner de incautación era falso:
- El dominio .onion no aparecía en la lista de incautaciones del DOJ
- El certificado SSL del banner no coincidía con los usados por el FBI
- Ninguna agencia confirmó la operación
- Los flujos de Bitcoin mostraban transferencia a wallets no asociadas con law enforcement
Impacto en el ecosistema
El exit scam de ALPHV tuvo consecuencias profundas para el ecosistema RaaS:
Erosión de confianza: si un operador de primer nivel puede robar 22 millones a su propio afiliado, ¿quién garantiza que el siguiente grupo no hará lo mismo? La confianza entre operadores y afiliados, ya frágil, se debilitó aún más.
Migración de afiliados: afiliados de alto nivel de ALPHV migraron a RansomHub, DragonForce y otros programas. RansomHub absorbió una porción significativa del talento de ALPHV.
Precedente legal: el caso Change Healthcare resultó en audiencias del Congreso de EEUU y propuestas regulatorias para el sector sanitario.
Reputación de Rust: a pesar del exit scam, el uso de Rust en ransomware se normalizó. Otros grupos adoptaron Rust parcialmente tras ver sus ventajas técnicas.
Detección de BlackCat/ALPHV
Indicadores técnicos
| Indicador | Tipo | Descripción |
|---|---|---|
| Extensión configurable | Archivo | Variable por víctima (.alphv, .sykffle, etc.) |
| Nota de rescate | Archivo | RECOVER-{EXT}-FILES.txt |
| UUID en nota | Texto | Identificador único por víctima |
| Access token CLI | Argumento | --access-token [UUID] requerido para ejecutar |
| Servicios detenidos | Comportamiento | Lista configurable en JSON embebido |
| Propagación SMB | Red | Intentos de autenticación con credenciales embebidas |
Particularidades de detección en Rust
El binario Rust de BlackCat tiene características que lo diferencian de malware en C/C++:
- Tamaño del binario relativamente grande (3-5 MB por el runtime de Rust)
- Strings de error de Rust (panic messages) presentes en el binario si no se strippean
- Imports de funciones de la librería estándar de Rust (
std::fs,std::io,std::thread) - Patrones de código característicos del ownership model de Rust en el código desensamblado
Legado técnico
BlackCat/ALPHV demostró que la innovación técnica en ransomware no se limita a la velocidad de cifrado. La elección de Rust, las tácticas de extorsión creativas (SEC complaint, searchable leaks) y la sofisticación del programa de afiliados establecieron nuevos estándares. El exit scam, aunque destruyó la marca, no destruyó el impacto: las técnicas y tácticas de BlackCat perviven en los grupos que absorbieron a sus afiliados.
Fuentes y referencias
- FBI. "FBI Disrupts ALPHV/Blackcat Ransomware Variant." December 2023.
- CISA. "#StopRansomware: ALPHV Blackcat." Advisory AA23-353A, 2023.
- Microsoft Threat Intelligence. "Octo Tempest / Scattered Spider Analysis." October 2023.
- Mandiant. "ALPHV/BlackCat Ransomware Technical Analysis." Mandiant Intelligence, 2023.
- Recorded Future. "BlackCat/ALPHV Exit Scam Analysis." The Record, March 2024.
- Chainalysis. "ALPHV/BlackCat Financial Flow Analysis." 2024.
- U.S. Senate Committee on Finance. "Hearing on Change Healthcare Cyberattack." May 2024.
- Varonis. "BlackCat Ransomware: A Technical Deep Dive." Varonis Threat Labs, 2022.
- Trend Micro. "ALPHV/BlackCat Ransomware: Rust-Based Threat Analysis." 2022.
- BleepingComputer. "ALPHV ransomware claims it filed an SEC complaint against victim." November 2023.
- BleepingComputer. "BlackCat ransomware shuts down in exit scam, blames the feds." March 2024.
- SentinelOne. "BlackCat/ALPHV Ransomware: Technical Analysis of a Rust-Based Threat." SentinelLabs, 2022.
Preguntas frecuentes
Libros recomendados
Artículos relacionados
Conti Leaks: El Dataset Educativo Más Valioso en la Historia del Ransomware
LockBit: Deep Dive Técnico del Programa RaaS Más Prolífico de la Historia
Técnicas de Cifrado en Ransomware: AES, RSA, ChaCha20 y Cifrado Híbrido
BlackCat/ALPHV: Doble Extorsión y Data Leak Investigation
Conti: De Cobalt Strike a Exfiltración y Cifrado en 72 Horas
LockBit 3.0: Incident Response Completo de Principio a Fin
Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.