El ransomware es un tipo de malware que cifra los archivos de las víctimas y les exige un rescate para recuperarlos. Se trata de una amenaza cada vez más frecuente y peligrosa, que afecta tanto a individuos como a organizaciones de todo tipo y tamaño. Según un informe, el número de ataques de ransomware aumentó un 62% en 2022, alcanzando los 1.152 millones de incidentes.
Entre los grupos de ransomware más activos y dañinos se encuentra Black Basta, que apareció por primera vez en abril de 2022 y se ha convertido en uno de los actores de amenazas más prolíficos del mundo, con más de 100 víctimas confirmadas en sus primeros meses de operación. Black Basta se caracteriza por utilizar una táctica de doble extorsión, que consiste en cifrar los datos críticos y los servidores vitales de sus víctimas y amenazar con publicar datos sensibles en su sitio web de filtración si no pagan el rescate. Además, Black Basta se enfoca en atacar a organizaciones de gran tamaño y alto valor, especialmente en Estados Unidos, Japón, Canadá, Reino Unido, Australia y Nueva Zelanda. Black Basta es un ejemplo alarmante de esta realidad. Este software malicioso ha generado más de 100 millones de dólares en extorsiones.
En este artículo, vamos a explicar cómo funciona el ransomware Black Basta, cuáles son sus objetivos, cómo se propaga, cómo se puede detectar y prevenir, y qué hacer en caso de ser víctima de este malware.
El ransomware Black Basta es un ejecutable basado en consola que solo puede ejecutarse con privilegios de administrador. Una vez que se ejecuta, elimina las copias de sombra del sistema usando el programa vssadmin.exe, lo que impide que las víctimas puedan restaurar el sistema a su estado anterior después del cifrado.
El cifrado se realiza mediante un algoritmo simétrico AES-256, que genera una clave única para cada archivo. La clave se cifra a su vez con una clave pública RSA-2048, que solo posee el grupo de ransomware. Los archivos cifrados se renombran con la extensión .basta y se crea una nota de rescate en cada carpeta afectada con el nombre README.txt.
La nota de rescate contiene un mensaje en inglés que informa a la víctima de que sus archivos han sido cifrados y que debe pagar una cantidad determinada de bitcoins para obtener la clave de descifrado. También advierte de que si no paga en el plazo de siete días, sus datos serán publicados en el sitio web de filtración de Black Basta, llamado Basta News. El mensaje incluye un enlace a una página web alojada en la red Tor, donde la víctima puede contactar con los atacantes y negociar el pago.
Podrá interesarte: Evita el Pago de Ransomware: Riesgos del Rescate
El grupo de ransomware Black Basta, presuntamente vinculado a Rusia, ha acumulado más de 100 millones de dólares en rescates de más de 90 entidades desde su aparición en abril de 2022. Esta información proviene de un estudio realizado por Corvus Insurance y Elliptic. Se identificaron más de 329 ataques globales por parte de este grupo, caracterizados por su táctica de doble extorsión. En esta modalidad, los afiliados de Black Basta sustraen información confidencial antes de desplegar el ransomware en los sistemas afectados, cifrando así los datos hackeados.
Posteriormente, utilizan los datos robados para coaccionar a las víctimas, amenazando con publicarlos en su portal de la dark web si no se cumplen sus demandas de rescate. El equipo de Corvus Threat Intel explica: “Nuestro análisis indica que Black Basta ha recaudado al menos 107 millones de dólares en rescates desde principios de 2022 de más de 90 víctimas. El rescate más alto registrado fue de 9 millones de dólares, y al menos 18 pagos superaron el millón. El rescate promedio rondó los 1,2 millones de dólares”.
Con base en la información del sitio de filtraciones de Black Basta hasta el tercer trimestre de 2023, se estima que al menos el 35% de las víctimas reconocidas pagaron el rescate. Estos datos son consistentes con los reportes de Coveware, una empresa especializada en la negociación de ransomware, que indica que cerca del 41% de todas las víctimas de ransomware terminan pagando.
Black Basta emergió como una operación de Ransomware-como-Servicio (RaaS) en abril de 2022, enfocándose en corporaciones globales con su enfoque de doble extorsión. Tras la disolución de la conocida banda de ransomware Conti en junio de 2022 debido a múltiples filtraciones de datos, se cree que Black Basta podría ser una facción resultante de este grupo.
Te podrá interesar leer: Ransomware as a Service: Una Amenaza Alarmante
El equipo de seguridad del Departamento de Salud y Servicios Humanos de EE. UU. señaló en un reporte de marzo: “La rápida acumulación de al menos 20 víctimas en las primeras dos semanas de Black Basta sugiere su experiencia en ransomware y acceso constante a recursos iniciales. La sofisticación y la reticencia a reclutar o promocionar en foros de la Dark Web hacen que muchos sospechen que Black Basta puede ser una reinvención del grupo de amenazas RaaS de habla rusa Conti, o estar vinculado con otros grupos rusos de ciberamenazas”.
Black Basta también ha sido asociado con FIN7, un notorio grupo de hackers rusos activos desde al menos 2015, conocidos también como Carbanak.
Desde su aparición, Black Basta ha atacado y extorsionado a numerosas entidades destacadas, incluyendo la Asociación Dental Estadounidense, Sobeys, Knauf, Yellow Pages Canada, la Biblioteca Pública de Toronto y el contratista de defensa alemán Rheinmetall. Entre sus víctimas también se cuentan Capita, una importante empresa británica de tecnología con lucrativos contratos gubernamentales, y ABB, un gigante de la automatización industrial y contratista del gobierno estadounidense, con ingresos superiores a los 29 mil millones de dólares. Hasta la fecha, no se ha revelado si estas compañías accedieron a pagar los rescates demandados por Black Basta.
Número de ataques y pagos de rescate
Podría interesarte leer: Costo de Inacción en Ciberseguridad
El ransomware Black Basta tiene como objetivo extorsionar a sus víctimas y obtener el mayor beneficio posible. Para ello, se dirige a organizaciones de sectores críticos, como la construcción, la manufactura, la salud, la educación, el transporte, la energía y el gobierno. El grupo de ransomware ha obtenido más de 100 millones de dólares en rescates desde su aparición.
El grupo de ransomware también tiene como objetivo causar el mayor daño posible a sus víctimas, no solo cifrando sus archivos, sino también robando sus datos confidenciales y amenazando con exponerlos públicamente. De esta manera, busca aumentar la presión sobre las víctimas y reducir sus opciones de recuperación. Además, el grupo de ransomware busca dañar la reputación de sus víctimas y generar un efecto disuasorio para otras posibles víctimas.
El ransomware Black Basta se propaga mediante una serie de técnicas que le permiten obtener acceso inicial, moverse lateralmente por la red, robar datos y desplegar el ransomware. Estas técnicas incluyen las siguientes:
Te podrá interesar leer: Desmantelamiento de Qakbot: Un Caso de Éxito en Ciberseguridad
Para protegerse contra Black Basta y otros ransomwares, es esencial adoptar buenas prácticas de seguridad:
Podrá interesarte: Concientización: Esencial en la Ciberseguridad de tu Empresa
La detección temprana puede prevenir la propagación de ransomware. Herramientas como sistemas de detección de intrusiones (IDS) y software de análisis de comportamiento pueden ser fundamentales.
El panorama de las amenazas cibernéticas está en constante evolución. Black Basta, aunque es uno de los actores más notorios en la actualidad, es solo una parte de un problema más amplio. Las organizaciones deben mantenerse vigilantes y actualizadas en cuanto a tendencias de ciberseguridad.
Black Basta ransomware es un recordatorio contundente de los peligros que enfrentan las organizaciones en la era digital. La prevención, educación y preparación son esenciales para protegerse contra estas amenazas. Al mantenerse informados y adoptar prácticas de seguridad robustas, tanto individuos como empresas pueden mitigar el riesgo de ser víctimas del ransomware y otras formas de ciberdelincuencia.