La operación de ransomware Black Basta creó un marco automatizado denominado 'BRUTED', diseñado para ejecutar ataques de fuerza bruta contra dispositivos de redes perimetrales, como firewalls y conexiones VPN. Esta herramienta permite a los ciberdelincuentes optimizar el acceso inicial a redes empresariales y escalar rápidamente sus ataques a sistemas vulnerables expuestos a Internet.
Este avance representa una seria amenaza para empresas y organizaciones que dependen de las VPN para proteger sus datos y comunicaciones. Con un enfoque automatizado y altamente eficaz, Black Basta ha logrado perfeccionar sus técnicas de infiltración, poniendo en riesgo infraestructuras críticas a gran escala.
A lo largo de 2024 se han reportado múltiples ataques masivos de fuerza bruta y pulverización de contraseñas dirigidos a estos dispositivos. Algunos de estos incidentes podrían estar relacionados con la operación BRUTED o con tácticas similares.
Desde 2023, el grupo de ransomware Black Basta ha estado utilizando una herramienta automatizada llamada BRUTED para llevar a cabo ataques masivos de fuerza bruta y relleno de credenciales en dispositivos de red perimetral.
El análisis del código fuente revela que esta herramienta fue diseñada específicamente para vulnerar credenciales en una variedad de plataformas VPN y de acceso remoto, incluyendo SonicWall NetExtender, Palo Alto GlobalProtect, Cisco AnyConnect, Fortinet SSL VPN, Citrix NetScaler (Citrix Gateway), Microsoft RDWeb (Remote Desktop Web Access) y WatchGuard SSL VPN.
Enfoque de ataque utilizado para cada producto (Fuente: EclecticIQ)
La herramienta BRUTED está diseñada para buscar dispositivos de red perimetral que estén expuestos públicamente y que coincidan con una lista de objetivos. Para encontrarlos, genera combinaciones de subdominios, resuelve direcciones IP y agrega prefijos como .vpn o .remote en sus búsquedas. Cuando encuentra coincidencias, envía la información a un servidor de comando y control (C2).
Una vez identificados los posibles objetivos, BRUTED obtiene una lista de posibles contraseñas desde un servidor remoto y las combina con intentos generados localmente. Luego, lanza múltiples solicitudes de autenticación utilizando varios procesos de CPU para aumentar sus probabilidades de éxito.
El análisis revela que la herramienta emplea encabezados de solicitud y agentes de usuario específicos para cada dispositivo que intenta atacar, lo que mejora la precisión del ataque. Además, BRUTED es capaz de extraer información clave de los certificados SSL de los dispositivos seleccionados, como los nombres comunes (CN) y nombres alternativos de sujeto (SAN). Esta táctica le permite generar conjeturas adicionales de contraseñas basadas en el dominio del objetivo y en patrones de nomenclatura habituales, aumentando así sus posibilidades de comprometer el sistema.
Resumen de los ataques de Black Basta que involucran a BRUTED
Para evitar ser detectado, BRUTED utiliza una lista de servidores proxy SOCKS5 que están configurados con nombres de dominio que parecen legítimos, lo que ayuda a ocultar la verdadera infraestructura del atacante detrás de una capa intermedia.
La infraestructura principal de esta operación se encuentra en Rusia y está registrada bajo el nombre Proton66 (AS 198953).
Curiosamente, en los registros de chat filtrados se encontraron conversaciones internas donde los miembros del grupo hablaban sobre problemas con sus servidores, que estuvieron fuera de línea por no pagar las tarifas a tiempo. Finalmente, lograron renovarlas, lo que revela que incluso las bandas de ransomware tienen que lidiar con contratiempos logísticos en sus operaciones del día a día.
Podría interesarte leer: Filtración de Chats Internos de Black Basta Revela su Modus Operandi
Herramientas como BRUTED facilitan el trabajo a los ciberdelincuentes, ya que les permiten atacar múltiples redes de forma simultánea con muy poco esfuerzo. Esto, por supuesto, aumenta sus posibilidades de obtener beneficios económicos a través del ransomware. Para protegerte, es clave seguir algunas buenas prácticas:
Además, es importante:
También se recomienda bloquear solicitudes provenientes de IPs y dominios conocidos por estar asociados a este tipo de amenazas, configurando reglas específicas en tu firewall.
Por otro lado, contar con una solución de ciberseguridad avanzada que incluya protección antiransomware es fundamental. Soluciones como TecnetProtect ofrecen defensa activa contra este tipo de amenazas mediante tecnología basada en inteligencia artificial que analiza el comportamiento de los procesos en tiempo real. Este tipo de soluciones pueden identificar patrones sospechosos, como la encriptación masiva de archivos, y detener el ataque antes de que se produzca un daño grave.
Además, estas soluciones suelen integrar copias de seguridad automatizadas y cifradas, lo que garantiza que, incluso en caso de un ataque exitoso, los datos críticos puedan recuperarse sin pagar un rescate.
Aunque BRUTED no explota vulnerabilidades específicas para atacar los dispositivos de red, mantener tus sistemas actualizados con los últimos parches de seguridad sigue siendo una medida clave para reducir riesgos. La combinación de buenas prácticas, herramientas de protección avanzadas y una política de seguridad proactiva es la mejor defensa contra este tipo de amenazas.