Desde su aparición en abril de 2022, la operación de ransomware como servicio (RaaS) Black Basta ha atacado a más de 500 entidades en sectores de industria privada e infraestructura crítica en América del Norte, Europa y Australia. Según un aviso conjunto de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), el FBI, el Departamento de Salud y Servicios Humanos (HHS) y el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC), datos fueron cifrados y robados en al menos 12 de los 16 sectores de infraestructura críticos identificados.
Los afiliados a Black Basta emplean métodos de acceso inicial comunes, como phishing y explotación de vulnerabilidades conocidas, y recurren a un modelo de doble extorsión que incluye tanto el cifrado de sistemas como la exfiltración de datos. A diferencia de otros grupos de ransomware, las notas de rescate de Black Basta no presentan una demanda de rescate inicial ni instrucciones de pago; en cambio, proporcionan a las víctimas un código único e indican que contacten al grupo a través de una URL .onion.
Black Basta fue detectado por primera vez en el estado salvaje en abril de 2022 utilizando QakBot como vector inicial y ha mantenido una actividad significativa desde entonces. Datos de Malwarebytes indican que el grupo estuvo involucrado en 28 de los 373 ataques de ransomware confirmados en abril de 2024. Según Kaspersky, fue la duodécima familia de ransomware más activa en 2023, y ha experimentado un notable aumento de actividad en el primer trimestre de 2024, con un crecimiento intertrimestral del 41%.
Por otro lado, existen indicios que vinculan a los operadores de Black Basta con FIN7, un conocido grupo de cibercriminales que ha estado involucrado en ataques de ransomware desde 2020.
Conoce más sobre: ¿Cómo Protegerse del Ransomware Black Basta?
¿Cómo opera Black Basta?
Las tácticas de ataque de Black Basta incluyen el uso de herramientas como el escáner de red SoftPerfect, BITSAdmin, Cobalt Strike, ConnectWise ScreenConnect y PsExec para el movimiento lateral, mientras que Mimikatz se utiliza para la escalada de privilegios y RClone para la exfiltración de datos antes del cifrado. También se explotan vulnerabilidades críticas como ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278 y CVE-2021-42287) y PrintNightmare (CVE-2021-34527) para obtener privilegios elevados.
En algunos ataques, se ha empleado una herramienta denominada Backstab para inhabilitar el software de detección y respuesta de endpoints (EDR), una técnica también utilizada por afiliados de LockBit.
El proceso concluye con el cifrado de archivos mediante el algoritmo ChaCha20 y una clave pública RSA-4096, procediendo primero a eliminar las instantáneas de volumen con vssadmin.exe para dificultar la recuperación del sistema.
Las agencias han destacado que las organizaciones de atención médica son particularmente vulnerables debido a su tamaño, dependencia tecnológica, acceso a información de salud personal y los efectos significativos que las interrupciones pueden tener en la atención al paciente.
Te podrá interesar leer: Identifican y Sancionan al Administrador del Ransomware LockBit
Este contexto surge mientras continúa una campaña de ransomware CACTUS que explota vulnerabilidades en una plataforma de análisis e inteligencia empresarial en la nube llamada Qlik Sense para acceder a los sistemas objetivo. Un estudio de Fox-IT del grupo NCC ha identificado que 3143 servidores aún están en riesgo de ser afectados por CVE-2023-48365 (también conocido como DoubleQlik), concentrándose principalmente en EE. UU., Italia, Brasil, Países Bajos y Alemania hasta el 17 de abril de 2024.
El escenario del ransomware muestra un decrecimiento del 18% en la actividad durante el primer trimestre de 2024, impulsado en gran parte por operaciones policiales contra ALPHV (también conocido como BlackCat) y LockBit. A raíz de varios contratiempos de reputación, es probable que LockBit busque reinventarse, siendo DarkVault un posible sucesor, según sugiere una firma de ciberseguridad por las similitudes con la marca LockBit.
Recientemente, han emergido varios grupos nuevos de ransomware, incluidos APT73, DoNex, DragonForce, Hunt (una variante de Dharma/Crysis), KageNoHitobito, Megazord, Qiulong, Rincrypt y Shinra. Los análisis indican una "diversificación" notable de estas cepas y la capacidad de los actores de amenazas para adaptarse y cambiar de marca rápidamente, evidenciando la naturaleza dinámica y resiliente del ecosistema de ransomware. Además, se ha reportado una disminución del 46% en los pagos de rescate en 2023.
Los datos recientes muestran que solo el 28% de las víctimas optaron por pagar el rescate en el primer trimestre de 2024, alcanzando así un mínimo histórico. El pago promedio de rescate durante este período fue de $381,980, lo que representa una caída del 32% desde el último trimestre de 2023.
Conoce más sobre: Descenso récord en pagos de ransomware: Las víctimas no pagan
Conclusión
En conclusión, el panorama del ransomware continúa evolucionando con la aparición de nuevos grupos y tácticas cada vez más sofisticadas que desafían la seguridad de las organizaciones a nivel mundial. La adaptabilidad y resiliencia de estos actores de amenazas subrayan la importancia de estar siempre un paso adelante en la protección de nuestros sistemas críticos. La disminución en los pagos de rescate y la resistencia a cumplir con las demandas iniciales muestran una tendencia hacia una mayor conciencia y preparación en ciberseguridad, pero aún queda mucho por hacer para fortalecer nuestras defensas.
En TecnetOne, entendemos la complejidad de estos desafíos y ofrecemos nuestro servicio SOC as a Service, diseñado para detectar y responder a amenazas como el ransomware de manera proactiva. Nuestro equipo de expertos utiliza las últimas tecnologías y estrategias de inteligencia de amenazas para proporcionar una vigilancia continua y protección eficaz. No permitas que tu organización sea vulnerable a ataques que puedan paralizar tus operaciones y comprometer datos sensibles. Contáctanos hoy para saber cómo nuestro SOC as a Service puede ayudarte a asegurar la resiliencia y seguridad de tu empresa ante las amenazas cibernéticas del mañana.