El ransomware Black Basta ha vuelto a encender las alarmas, esta vez por su asociación con SystemBC, un sofisticado malware que está permitiendo a los ciberdelincuentes llevar sus ataques a un nivel aún más peligroso. Esta combinación está dejando a las organizaciones más vulnerables que nunca, enfrentándose a amenazas que no solo buscan cifrar sus datos, sino también comprometer su infraestructura crítica. Entender cómo funciona esta colaboración entre Black Basta y SystemBC es fundamental para prevenir y mitigar el impacto de estos ataques.
Una campaña de ingeniería social actualmente en curso, presuntamente vinculada al grupo de ransomware Black Basta, ha sido relacionada con varios intentos de intrusión dirigidos a robar credenciales y desplegar un cuentagotas de malware conocido como SystemBC.
El enfoque inicial de estos actores maliciosos sigue siendo consistente: una táctica de bombardeo de correos electrónicos, seguida de intentos de contactar a las víctimas directamente para ofrecer una solución falsa. En muchos casos, estas llamadas se realizan a través de Microsoft Teams, intentando convencer a los usuarios de que descarguen e instalen un software de acceso remoto legítimo llamado AnyDesk. Este software se utiliza como un canal para desplegar cargas maliciosas adicionales y exfiltrar información confidencial.
Una parte crucial de este ataque implica el uso de un ejecutable llamado "AntiSpam.exe", que se presenta como una herramienta para descargar filtros de spam de correo electrónico. Los usuarios son engañados para que ingresen sus credenciales de Windows, creyendo que están completando una actualización necesaria.
Conoce más sobre: Descubrimiento de Tácticas de Carga Útil del Malware SystemBC
Los atacantes emplearon diversas cargas útiles alineadas con su señuelo inicial, incluyendo el malware SystemBC, balizas HTTP creadas con Golang, y balizas proxy Socks. Investigadores observaron el uso de un ejecutable llamado update6.exe, diseñado para explotar la vulnerabilidad CVE-2022-26923 y así lograr la escalada de privilegios. Además, se emplearon túneles SSH inversos y la herramienta de monitoreo remoto Level RMM para facilitar el movimiento lateral y mantener el acceso.
Cuando se ejecuta, update6.exe intenta explotar la vulnerabilidad CVE-2022-26923 para añadir una cuenta de máquina, siempre que el controlador de dominio en el entorno sea vulnerable.
La ruta de la base de datos de símbolos de depuración, que se dejó intacta, apunta a C:\Users\lfkmf\source\repos\AddMachineAccount\x64\Release\AddMachineAccount.pdb, lo que sugiere que el código fuente original pudo haberse copiado de un módulo de Cobalt Strike de código abierto creado por Outflank.
La carga útil de SystemBC, update8.exe, se recupera dinámicamente de un recurso cifrado y se inyecta directamente en un proceso secundario con el mismo nombre. El archivo SystemBC original está cifrado con una clave XOR, y esta clave se revela debido al cifrado de bytes nulos de relleno entre las secciones PE.
Se recomienda mitigar la amenaza bloqueando todas las soluciones de administración y monitoreo remoto que no estén aprobadas. Herramientas como AppLocker o Microsoft Defender Application Control pueden impedir que las soluciones RMM no autorizadas se ejecuten dentro del entorno.
Te podrá interesar leer: ¿Cómo proteger los datos corporativos en el trabajo remoto?
Si tu organización es víctima de un ataque de Black Basta, es crucial mantener la calma y seguir un plan de respuesta estructurado. Aquí hay algunos pasos clave a seguir:
Aislamiento: Desconecta los sistemas comprometidos de la red para evitar la propagación del ransomware.
Notificación a las Autoridades: Informa a las autoridades correspondientes, como las fuerzas de seguridad cibernética locales o federales. También considera notificar a tus socios comerciales y clientes si sus datos pueden haber sido comprometidos.
Consulta a Expertos: Contrata a expertos en ciberseguridad que puedan ayudarte a entender el alcance del ataque, negociar con los atacantes si es necesario, y recuperar tus sistemas.
Evaluación del Daño: Realiza una evaluación exhaustiva del daño, incluyendo qué datos han sido robados o cifrados.
Comunicación Transparente: Mantén una comunicación abierta y transparente con todas las partes interesadas, incluidos trabajadores, clientes y socios comerciales. Explicar lo que está sucediendo y cómo planeas solucionarlo es clave para mantener la confianza.
Black Basta representa una amenaza significativa, y su modelo RaaS solo ha amplificado su capacidad de causar daño. Sin embargo, al implementar medidas de seguridad robustas y mantenerse informado sobre las últimas tácticas de estos grupos, las organizaciones pueden reducir significativamente el riesgo de ser víctimas.