Hallazgos en el grupo de ransomware Black Basta

21. septiembre 2022
| No hay comentarios
Noticias cortas de seguridad cibernética B2B

Compartir publicación

Unit 42, el equipo de análisis de malware de Palo Alto Networks, ha publicado un informe que detalla el grupo de ransomware Black Basta, que apareció por primera vez en abril de 2022 y ha ido en aumento desde entonces. 

Desde la aparición del ransomware, los miembros del grupo han sido muy activos en la distribución y extorsión de empresas. Los atacantes administran un mercado y un blog de delitos cibernéticos donde el grupo enumera los nombres de sus víctimas, las descripciones, el porcentaje de publicación, el número de visitas y los datos extraídos.

Black Basta tiene su propia página de filtraciones

Aunque los miembros solo han estado activos durante unos meses, según la información publicada en su sitio de filtración, ya han comprometido a más de 75 empresas e instituciones. Otros hallazgos clave de la investigación de Palo Alto Networks incluyen:

  • · El RaaS utiliza la doble extorsión como parte de los ataques.
  • Los datos de al menos 20 víctimas se publicaron en el sitio de fuga en las primeras dos semanas del despliegue del ransomware.
  • · Según se informa, el grupo ha apuntado a varias grandes empresas en los sectores de productos industriales y de consumo, energía, recursos y agricultura, manufactura, servicios públicos, transporte, agencias gubernamentales, servicios profesionales y consultoría, e inmobiliario.

Black Basta - un resumen

Black Basta es un ransomware como servicio (RaaS) que apareció por primera vez en abril de 2022. Sin embargo, hay evidencia de que ha estado en desarrollo desde febrero. Los operadores de Black Basta utilizan una técnica de doble extorsión. No solo cifran los archivos en los sistemas de destino y exigen rescates por el descifrado, sino que también mantienen un sitio de fugas en la dark web donde amenazan con divulgar información confidencial si la víctima no paga el rescate. Los socios de Black Basta han estado muy activos en la difusión de Black Basta y extorsionando a las empresas desde que apareció el ransomware por primera vez. Aunque solo han estado activos durante unos meses, según la información publicada en su sitio de filtración, ya han infectado a más de 75 empresas e instituciones al momento de esta publicación. La Unidad 42 también ha trabajado en varios casos de Black Basta.

Black Basta encripta solo partes de archivos

El ransomware está escrito en C++ y afecta a los sistemas operativos Windows y Linux. Cifra los datos de los usuarios con una combinación de ChaCha20 y RSA-4096. Para acelerar el proceso de cifrado, el ransomware cifra en fragmentos de 64 bytes, dejando 128 bytes de datos sin cifrar entre las secciones cifradas. Cuanto más rápido se cifre el ransomware, más sistemas pueden verse comprometidos antes de que se activen las defensas. Este es un factor crucial que los socios deben tener en cuenta cuando se unen a un grupo de ransomware como servicio.

QBot sirve como punto de entrada

La Unidad 42 de Palo Alto Networks ha observado que el grupo de ransomware Black Basta está utilizando QBot como su primer punto de entrada para moverse lateralmente en redes comprometidas. QBot, también conocido como Qakbot, es una variedad de malware de Windows que comenzó como un troyano bancario y evolucionó hasta convertirse en un cuentagotas de malware. También lo han utilizado otros grupos de ransomware, incluidos MegaCortex, ProLock, DoppelPaymer y Egregor. Si bien estos grupos de ransomware usaron QBot para el acceso inicial, se observó que el grupo Black Basta usaba QBot tanto para el acceso inicial como para la distribución lateral de la red.

Seguirán más ataques

Dado que los ataques de Black Basta en 2022 fueron una sensación mundial y recurrentes, es probable que los operadores y/o sus socios afiliados detrás del servicio continúen atacando y extorsionando a las empresas. También es posible que esta no sea una operación nueva, sino más bien un reinicio de un grupo de ransomware anterior que trajo consigo a sus socios. Debido a numerosas similitudes en tácticas, técnicas y procedimientos, como blogs que avergüenzan a las víctimas, portales de recuperación, tácticas de negociación y la rapidez con que Black Basta reunió a sus víctimas, el grupo podría incluir miembros actuales o anteriores del grupo Conti. Más información sobre este análisis, que sigue a otros estudios recientes de ransomware como Blue Sky y Cuba, está disponible en línea en Unit42 de PaloAltoNetworks.

Más PaloAltoNetworks.com

 

Acerca de Palo Alto Networks

Palo Alto Networks, el líder mundial en soluciones de ciberseguridad, está dando forma al futuro basado en la nube con tecnologías que transforman la forma en que trabajan las personas y las empresas. Nuestra misión es ser el socio de ciberseguridad preferido y proteger nuestra forma de vida digital. Lo ayudamos a abordar los mayores desafíos de seguridad del mundo con innovación continua aprovechando los últimos avances en inteligencia artificial, análisis, automatización y orquestación. Al ofrecer una plataforma integrada y potenciar un ecosistema creciente de socios, somos líderes en la protección de decenas de miles de empresas en nubes, redes y dispositivos móviles. Nuestra visión es un mundo donde cada día sea más seguro que el anterior.

 

Artículos relacionados con el tema

Informe: 40 por ciento más de phishing en todo el mundo

El actual informe sobre spam y phishing de Kaspersky para 2023 habla por sí solo: los usuarios en Alemania buscan ➡ Leer más

BSI establece estándares mínimos para navegadores web

La BSI ha revisado el estándar mínimo para navegadores web para su administración y ha publicado la versión 3.0. puedes recordar eso ➡ Leer más

El malware sigiloso apunta a empresas europeas

Los piratas informáticos están atacando a muchas empresas de toda Europa con malware sigiloso. Los investigadores de ESET han informado de un aumento dramático en los llamados ataques AceCryptor a través de ➡ Leer más

Seguridad informática: base para LockBit 4.0 desactivada

Trend Micro, en colaboración con la Agencia Nacional contra el Crimen (NCA) del Reino Unido, analizó la versión inédita que estaba en desarrollo. ➡ Leer más

MDR y XDR a través de Google Workspace

Ya sea en una cafetería, en una terminal de aeropuerto o en la oficina en casa, los empleados trabajan en muchos lugares. Sin embargo, este desarrollo también trae desafíos ➡ Leer más

Prueba: software de seguridad para terminales y PC individuales

Los últimos resultados de las pruebas del laboratorio AV-TEST muestran un rendimiento muy bueno de 16 soluciones de protección establecidas para Windows ➡ Leer más

La IA en Enterprise Storage combate el ransomware en tiempo real

NetApp es uno de los primeros en integrar inteligencia artificial (IA) y aprendizaje automático (ML) directamente en el almacenamiento primario para combatir el ransomware. ➡ Leer más

FBI: Informe sobre delitos en Internet contabiliza daños por valor de 12,5 millones de dólares 

El Centro de Denuncias de Delitos en Internet (IC3) del FBI ha publicado su Informe sobre delitos en Internet de 2023, que incluye información de más de 880.000 ➡ Leer más

Noticias cortas
, , , , ,