El grupo cibercriminal de ransomware, Black Basta, vulnera 48 empresas en dos meses, posicionándose como una amenaza emergente

por Víctor Ruiz, fundador de SILIKN e instructor certificado en ciberseguridad — CSCT™.

El ransomware Black Basta es una nueva variedad de ransomware descubierta en abril de 2022 y desde esa fecha ha cobrado notoriedad porque se atribuye la vulneración de 48 víctimas, hasta el momento.

No obstante, las operaciones de Black Basta posiblemente iniciaron algunos meses atrás, en febrero de 2022, con un ransomware que podría haber estado todavía en desarrollo debido a que no presentaba ninguna marca o nombre distintivo, pero fue hasta abril cuando los atacantes comenzaron a buscar comprar y monetizar el acceso a las redes corporativas a cambio de una parte de las ganancias y a publicar anuncios buscando desplegar el ransomware contra organizaciones de Estados Unidos, Canadá, Reino Unido, Australia y Nueva Zelanda.

Al igual que otros grupos cibercriminales de ransomware surgidos en fechas recientes, Black Basta sigue la tendencia de la doble extorsión, en la cual roban archivos e información confidenciales de sus víctimas y luego los usan para extorsionarlas amenazándolas con publicar dichos datos a menos que se pague el rescate. De acuerdo con sus operaciones, Black Basta usa credenciales robadas, compradas en sitios web de la Dark Web o foros clandestinos, para ingresar al sistema de las organizaciones.

Por el perfil de las víctimas, Black Basta apunta a una variedad de industrias, que incluyen manufactura, construcción, transporte, telecomunicaciones, productos farmacéuticos, cosméticos, plomería y calefacción, concesionarios de automóviles, fabricantes de ropa interior, entre otros.

Se ha observado que Black Basta ha hecho uso de Qakbot, un troyano bancario, como un conducto para mantener la persistencia en los hosts comprometidos y recolectar credenciales, antes de moverse lateralmente a través de la red e implementar el ransomware.

Qakbot, también conocido como QBot, QuackBot y Pinkslipbot, se conoce desde 2007 y, aunque se diseñó principalmente como un malware para robar información, Qakbot cambió sus objetivos y adquirió una nueva funcionalidad para ofrecer plataformas de ataque posteriores al compromiso, con el objetivo final de cargar ransomware en las máquinas infectadas.

Qakbot tiene muchas capacidades integradas que son muy útiles para los atacantes, como realizar reconocimientos, recopilar datos y credenciales, moverse lateralmente y descargar y ejecutar cargas útiles. Entre sus usuarios se encuentran grupos criminales como MegaCortex, ProLock, DoppelPaymer, Conti y Egregor.

Al parecer Black Basta está compuesto por miembros que pertenecían a Conti, grupo cibercriminal que presuntamente cerró sus operaciones en respuesta a un mayor escrutinio policial y una filtración importante que vio sus herramientas y tácticas pasar al dominio público, después de ponerse del lado de Rusia en la guerra contra Ucrania. Hay varias similitudes entre las dos operaciones, incluida la apariencia del sitio Tor filtrado, las notas de rescate, el sitio de pago y el comportamiento del equipo de soporte.

Algunos intentos iniciales de Black Basta también han podido ser detectados en México, en empresas del sector de telecomunicaciones y manufactura, pero por el tipo de trayecto que recorre el malware se estima que pueda empezar a afectar empresas del sector farmacéutico, aseguradoras, así como dependencias del gobierno.

Algunas de las acciones de Black Basta que han sido detectadas en sistemas de empresas mexicanas y extranjeras con operaciones en el país, son: movimientos laterales mediante el uso de Qakbot; recopilación de direcciones IP internas de todos los hosts de la red; deshabilitación de Windows Defender; eliminación de copias de seguridad de los servidores Hyper-V de Veeam; uso de Windows Management Instrumentation para lanzar y esparcir el ransomware, entre otros.

Un punto a destacar es que Black Basta no ha comenzado a comercializar su operación (como ransomware as a service) ni a reclutar afiliados. Se estima que de comenzar a rentar o vender su malware, la amenaza aumentará rápidamente.

Algunas recomendaciones para evitar ser víctima de Black Basta, son:

  • Utilizar un sistema anti-ransomware que permita la detección del malware.
  • Instalar los parches de seguridad actualizados en todos los sistemas, para mitigar las vulnerabilidades.
  • Hacer una copia de seguridad periódica de los archivos en tres ubicaciones diferentes: un servidor remoto, un servicio en la nube y un sistema de almacenamiento sin conexión a la red ni a Internet.
  • Utilizar soluciones de seguridad como firewalls, proxies, filtrado web y filtrado de correo, entre otros.

Para mayor información, visite: https://www.silikn.com/

--

--

Founder of SILIKN

Love podcasts or audiobooks? Learn on the go with our new app.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store