Black Basta se ha convertido en una de las bandas de ransomware más temidas, operando como una empresa criminal altamente organizada. Sus ataques han puesto de rodillas a compañías de todo el mundo, exigiendo rescates millonarios bajo la amenaza de filtrar información sensible.
Pero ahora, alguien ha expuesto su operación desde dentro. Un filtrador anónimo, conocido como ExploitWhispers, ha publicado lo que afirma ser registros de chat internos de Black Basta en un canal de Telegram, después de que fueran eliminados de la plataforma MEGA. Lo que aún no está claro es si se trata de un investigador de seguridad que logró infiltrarse en sus sistemas o de un miembro descontento que decidió exponerlos.
Independientemente de quién esté detrás de la filtración, esta revela detalles inéditos sobre cómo opera la banda, desde sus tácticas de extorsión hasta la forma en que negocian con sus víctimas.
Conflictos internos y estafas: Las posibles razones detrás de la filtración
Aún no está claro por qué ocurrió esta filtración, pero todo apunta a que podría estar relacionada con conflictos internos dentro de Black Basta. Al parecer, el grupo ha estado bastante inactivo en los últimos meses, y algunos de sus propios miembros habrían estado estafando a las víctimas, cobrando rescates sin entregar las claves para recuperar los archivos.
El 11 de febrero de 2025, alguien filtró los registros de chat internos de Black Basta, alegando que lo hizo porque la banda había comenzado a atacar bancos rusos. Esta situación recuerda a lo que ocurrió con la filtración de los chats de Conti en su momento, lo que sugiere que podría tratarse de una represalia interna o de alguien con acceso privilegiado que decidió exponerlos.
Filtración de chat del ransomware Black Basta (Fuente: BleepingComputer)
El archivo filtrado revela conversaciones internas de Black Basta que abarcan desde el 18 de septiembre de 2023 hasta el 28 de septiembre de 2024. En estos chats se discuten tácticas, ataques y detalles operativos del grupo, ofreciendo una mirada sin precedentes a cómo funciona esta red criminal desde dentro.
Entre la información expuesta hay plantillas de phishing listas para usar, listas de correos electrónicos de posibles víctimas, direcciones de criptomonedas para recibir pagos, credenciales robadas y registros de filtraciones de datos. También aparecen 367 enlaces de ZoomInfo, una plataforma que las bandas de ransomware suelen usar para recopilar información sobre sus objetivos y compartir detalles con sus miembros o incluso con las víctimas durante las negociaciones.
Además, la filtración menciona a varios miembros clave de Black Basta. Entre ellos están Lapa, uno de los administradores; Cortes, un actor de amenazas vinculado al grupo Qakbot; YY, el administrador principal; y Trump (también conocido como GG y AA), quien se cree que es Oleg Nefedovaka, el posible líder de la operación.
Podría interesarte leer: Black Basta Ataca a 500+ Entidades en América, Europa y Australia.
¿Quién es Black Basta y por qué es una de las bandas más temidas?
Black Basta es un grupo de ransomware-as-a-service (RaaS) que apareció en abril de 2022 y, desde entonces, ha atacado a cientos de organizaciones en todo el mundo. Su historial incluye objetivos de alto perfil como empresas de atención médica, contratistas gubernamentales e incluso agencias estatales.
Entre sus víctimas se encuentran el contratista de defensa alemán Rheinmetall, la división europea de Hyundai, el gigante británico de telecomunicaciones BT Group, la cadena de hospitales estadounidense Ascension, la Asociación Dental Americana, la Biblioteca Pública de Toronto y las Páginas Amarillas de Canadá. También han atacado a empresas de infraestructura crítica y tecnología, como la británica Capita y el contratista gubernamental ABB.
Pero su alcance no se limita solo a empresas privadas. En 2024, Black Basta también se infiltró en sistemas gubernamentales en América Latina, incluyendo ataques dirigidos al gobierno de Claudia Sheinbaum en la Ciudad de México, comprometiendo información sensible.
Black Basta no solo utiliza tácticas tradicionales como el phishing y la explotación de vulnerabilidades, sino que también ha llevado a cabo campañas de ingeniería social muy sofisticadas. Una de las más destacadas fue suplantar el soporte técnico de Microsoft Teams para engañar a trabajadores y obtener acceso a redes corporativas. En esta campaña, los atacantes se hacían pasar por técnicos de soporte de Microsoft y convencían a las víctimas de instalar malware en sus dispositivos, dándoles acceso total a los sistemas internos.
De acuerdo con un informe conjunto de la CISA y el FBI, entre abril de 2022 y mayo de 2024, la banda logró violar los datos de más de 500 organizaciones. Además, un análisis de Corvus Insurance y Elliptic reveló que, hasta noviembre de 2023, Black Basta había recaudado aproximadamente 100 millones de dólares en pagos de rescate de más de 90 víctimas.
Lo más preocupante es que esta filtración de chats internos recuerda lo que ocurrió en 2022 con el grupo Conti, otro infame sindicato de ransomware ruso. En aquel entonces, un investigador de seguridad ucraniano filtró más de 170,000 conversaciones privadas y el código fuente del ransomware después de que Conti expresara su apoyo a la invasión de Ucrania. Ahora, la historia parece repetirse, esta vez con Black Basta en el ojo del huracán.
Conoce más sobre: ¿Qué Grupos de Ransomware Atacan México?: Descubre el Top 10
Conclusión: La mejor defensa contra el ransomware es la prevención
La filtración de los chats internos de Black Basta ha revelado hasta qué punto las bandas de ransomware operan como organizaciones criminales bien estructuradas, con tácticas cada vez más sofisticadas para extorsionar a sus víctimas. Esto deja claro que ninguna empresa, sin importar su tamaño o industria, está exenta de ser un objetivo.
Por eso, contar con una estrategia de ciberseguridad sólida no es opcional, sino esencial. Las organizaciones deben implementar soluciones avanzadas que protejan sus sistemas, detecten amenazas en tiempo real y garanticen la continuidad del negocio ante posibles ataques.
Una herramienta como TecnetProtect es clave en esta lucha. Con su protección avanzada contra ransomware, detección y respuesta inmediata, y la capacidad de realizar copias de seguridad seguras y automatizadas, TecnetProtect ayuda a las empresas a minimizar riesgos y recuperarse rápidamente en caso de un ataque. Los ciberdelincuentes evolucionan constantemente, por lo que la mejor estrategia es prevenir, detectar y estar preparados para cualquier escenario.
