Unit 42, el equipo de análisis de malware de Palo Alto Networks, ha publicado un informe que detalla el grupo de ransomware Black Basta, que apareció por primera vez en abril de 2022 y ha ido en aumento desde entonces.
Desde la aparición del ransomware, los miembros del grupo han sido muy activos en la distribución y extorsión de empresas. Los atacantes administran un mercado y un blog de delitos cibernéticos donde el grupo enumera los nombres de sus víctimas, las descripciones, el porcentaje de publicación, el número de visitas y los datos extraídos.
Black Basta tiene su propia página de filtraciones
Aunque los miembros solo han estado activos durante unos meses, según la información publicada en su sitio de filtración, ya han comprometido a más de 75 empresas e instituciones. Otros hallazgos clave de la investigación de Palo Alto Networks incluyen:
- · El RaaS utiliza la doble extorsión como parte de los ataques.
- Los datos de al menos 20 víctimas se publicaron en el sitio de fuga en las primeras dos semanas del despliegue del ransomware.
- · Según se informa, el grupo ha apuntado a varias grandes empresas en los sectores de productos industriales y de consumo, energía, recursos y agricultura, manufactura, servicios públicos, transporte, agencias gubernamentales, servicios profesionales y consultoría, e inmobiliario.
Black Basta - un resumen
Black Basta es un ransomware como servicio (RaaS) que apareció por primera vez en abril de 2022. Sin embargo, hay evidencia de que ha estado en desarrollo desde febrero. Los operadores de Black Basta utilizan una técnica de doble extorsión. No solo cifran los archivos en los sistemas de destino y exigen rescates por el descifrado, sino que también mantienen un sitio de fugas en la dark web donde amenazan con divulgar información confidencial si la víctima no paga el rescate. Los socios de Black Basta han estado muy activos en la difusión de Black Basta y extorsionando a las empresas desde que apareció el ransomware por primera vez. Aunque solo han estado activos durante unos meses, según la información publicada en su sitio de filtración, ya han infectado a más de 75 empresas e instituciones al momento de esta publicación. La Unidad 42 también ha trabajado en varios casos de Black Basta.
Black Basta encripta solo partes de archivos
El ransomware está escrito en C++ y afecta a los sistemas operativos Windows y Linux. Cifra los datos de los usuarios con una combinación de ChaCha20 y RSA-4096. Para acelerar el proceso de cifrado, el ransomware cifra en fragmentos de 64 bytes, dejando 128 bytes de datos sin cifrar entre las secciones cifradas. Cuanto más rápido se cifre el ransomware, más sistemas pueden verse comprometidos antes de que se activen las defensas. Este es un factor crucial que los socios deben tener en cuenta cuando se unen a un grupo de ransomware como servicio.
QBot sirve como punto de entrada
La Unidad 42 de Palo Alto Networks ha observado que el grupo de ransomware Black Basta está utilizando QBot como su primer punto de entrada para moverse lateralmente en redes comprometidas. QBot, también conocido como Qakbot, es una variedad de malware de Windows que comenzó como un troyano bancario y evolucionó hasta convertirse en un cuentagotas de malware. También lo han utilizado otros grupos de ransomware, incluidos MegaCortex, ProLock, DoppelPaymer y Egregor. Si bien estos grupos de ransomware usaron QBot para el acceso inicial, se observó que el grupo Black Basta usaba QBot tanto para el acceso inicial como para la distribución lateral de la red.
Seguirán más ataques
Dado que los ataques de Black Basta en 2022 fueron una sensación mundial y recurrentes, es probable que los operadores y/o sus socios afiliados detrás del servicio continúen atacando y extorsionando a las empresas. También es posible que esta no sea una operación nueva, sino más bien un reinicio de un grupo de ransomware anterior que trajo consigo a sus socios. Debido a numerosas similitudes en tácticas, técnicas y procedimientos, como blogs que avergüenzan a las víctimas, portales de recuperación, tácticas de negociación y la rapidez con que Black Basta reunió a sus víctimas, el grupo podría incluir miembros actuales o anteriores del grupo Conti. Más información sobre este análisis, que sigue a otros estudios recientes de ransomware como Blue Sky y Cuba, está disponible en línea en Unit42 de PaloAltoNetworks.
Más PaloAltoNetworks.com
Acerca de Palo Alto Networks Palo Alto Networks, el líder mundial en soluciones de ciberseguridad, está dando forma al futuro basado en la nube con tecnologías que transforman la forma en que trabajan las personas y las empresas. Nuestra misión es ser el socio de ciberseguridad preferido y proteger nuestra forma de vida digital. Lo ayudamos a abordar los mayores desafíos de seguridad del mundo con innovación continua aprovechando los últimos avances en inteligencia artificial, análisis, automatización y orquestación. Al ofrecer una plataforma integrada y potenciar un ecosistema creciente de socios, somos líderes en la protección de decenas de miles de empresas en nubes, redes y dispositivos móviles. Nuestra visión es un mundo donde cada día sea más seguro que el anterior.