Durante casi tres años, Black Basta estuvo en la cima del mundo del ransomware, extorsionando a cientos de empresas y acumulando millones en rescates. Pero ahora, el grupo ha desaparecido de la escena. ¿La razón? No fue una operación del FBI ni una filtración de datos por parte de investigadores de seguridad. Fueron sus propias peleas internas las que los destruyeron.
Las tensiones dentro del grupo de ransomware como servicio (RaaS) se dispararon cuando sus propios líderes comenzaron a enfrentarse. Las disputas por dinero, la desconfianza y, finalmente, una filtración masiva de sus registros de chat internos por parte de un miembro clave terminaron por desmoronar la operación.
El mundo del ransomware ha cambiado bastante en los últimos años. Los grandes nombres como LockBit, ALPHV y Black Basta, que antes dominaban el panorama, han ido perdiendo fuerza mientras surgen nuevas bandas más pequeñas y menos conocidas.
Hasta hace poco, Black Basta parecía ser la excepción. Seguía entre los 10 grupos de ransomware más activos, manteniendo su influencia a pesar de la fragmentación del sector. Pero este año, las cosas empezaron a derrumbarse y todo apunta a que uno de los últimos gigantes del ransomware ha enfrentado serios problemas.
Entre las señales de su declive:
- Víctimas que pagaron el rescate nunca recibieron una clave de descifrado funcional.
- Miembros clave abandonaron el grupo para unirse a otras organizaciones.
- Peleas internas sobre qué objetivos debían evitarse.
El golpe final, según reportes, ocurrió cuando una de sus filiales lanzó un ataque de fuerza bruta contra un banco ruso. Los grupos de ransomware suelen evitar atacar objetivos en Rusia y en la Comunidad de Estados Independientes (CIS), ya que estos países les ofrecen un cierto refugio seguro.
Atacar un banco ruso fue un movimiento arriesgado que pudo haber atraído la atención no deseada de las autoridades, que en muchos casos prefieren mirar hacia otro lado cuando se trata de estos grupos. En medio de todo este caos, un usuario bajo el nombre de ExploitWhispers escribió:
"Un lugar para discutir las principales noticias sobre Black Basta, uno de los grupos de ransomware más grandes de Rusia, que recientemente hackeó bancos nacionales. Con tales acciones podemos decir que cruzaron la línea, por eso nos dedicamos a descubrir la verdad e investigar los próximos pasos de Black Basta. Aquí puede encontrar información en la que puede confiar y leerla en un solo canal. Nuestro acceso exclusivo le ofrece información completa, objetiva y confiable disponible siguiendo este enlace".
Los registros de chat filtrados incluyen casi 200,000 mensajes intercambiados entre septiembre de 2023 y septiembre de 2024. Gracias a esta filtración, los investigadores han podido descubrir detalles sobre los actores clave de Black Basta, sus peleas internas por el poder y hasta las estafas financieras dentro del grupo.
Además, se confirmó algo que ya se sospechaba: muchos de los líderes de Black Basta habían formado parte de Conti antes de su caída. Y lo más irónico es que Conti también se vino abajo después de que se filtraran sus propios chats en Internet. Historia que se repite.
Pero que Black Basta haya desaparecido no significa que el ransomware vaya a frenarse. Los afiliados que trabajaban con el grupo seguramente ya están buscando otro "empleador" dentro del ecosistema de ransomware como servicio (RaaS). Algunos informes indican que varios exmiembros ya se han unido a Cactus, lo que podría convertirlo en el próximo gran grupo a seguir de cerca. Mientras tanto, las tácticas y estrategias de ataque que solían usar siguen vigentes, así que la amenaza sigue ahí.
Conoce más sobre: Filtración de Chats Internos de Black Basta Revela su Modus Operandi
Los chats filtrados de Black Basta revelan sus vulnerabilidades favoritas
Los registros de chat filtrados de Black Basta ofrecen una mirada sin filtros al funcionamiento interno de uno de los grupos de ransomware más activos de los últimos años. Entre las muchas revelaciones, se destaca su preferencia por explotar vulnerabilidades conocidas en lugar de descubrir nuevas fallas.
A lo largo de las conversaciones, se discutieron varias CVE (Common Vulnerabilities and Exposures) que el grupo consideraba útiles para sus ataques. Microsoft lideró la lista con múltiples fallas mencionadas, incluidas ProxyNotShell en Exchange Server y Zerologon (CVE-2020-1472), una vulnerabilidad crítica de escalada de privilegios en Windows. Sin embargo, la más referenciada en los chats fue CVE-2024-3400, una vulnerabilidad de día cero en PAN-OS de Palo Alto Networks, que fue explotada masivamente la primavera pasada.
Otras vulnerabilidades clave en la lista de Black Basta
Entre las demás vulnerabilidades que el grupo discutió se encuentran:
- CVE-2023-4966 ("CitrixBleed") – Una falla crítica en Citrix NetScaler ADC y NetScaler Gateway.
- CVE-2024-21762 – Día cero en FortiOS de Fortinet, explotado hace un año.
- CVE-2024-1708 y CVE-2024-1709 – Vulnerabilidades en ConnectWise ScreenConnect ampliamente utilizadas por grupos de ransomware.
Además, los registros revelaron que Black Basta discutió al menos tres vulnerabilidades antes de que fueran publicadas oficialmente:
- CVE-2024-23113 – Una falla en Fortinet FortiOS.
- CVE-2024-25600 – Vulnerabilidad en el tema de WordPress Bricks Builder.
- CVE-2023-42115 – Un fallo en el servidor de correo Exim.
Esto sugiere que los atacantes tenían acceso a información sobre vulnerabilidades antes de su divulgación pública, lo que les daba una ventaja significativa sobre los defensores.
Estrategia de ataques: Menos objetivos, más dinero
Los chats también revelan que Black Basta no atacaba al azar, sino que priorizaba organizaciones con altos ingresos en sectores clave como legal, financiero, salud e industria. En lugar de lanzar ataques masivos, preferían centrarse en un número reducido de víctimas con más probabilidades de pagar rescates elevados. En algunos casos, el grupo también discutió la posibilidad de vender datos robados a competidores o entidades extranjeras, lo que añade otra capa de riesgo para las víctimas.
¿Qué significa esto para la ciberseguridad?
El análisis de estos chats deja claro que los grupos de ransomware no necesitan descubrir nuevas vulnerabilidades para ser efectivos; simplemente aprovechan fallas ya conocidas y herramientas disponibles públicamente. Esto refuerza la importancia de mantener los sistemas actualizados y aplicar parches de seguridad lo antes posible.
Además, la filtración de estos registros confirma que Black Basta no operaba en el vacío. Sus miembros tenían acceso a información antes de que ciertas vulnerabilidades fueran anunciadas oficialmente, lo que plantea preguntas sobre posibles filtraciones en la comunidad de ciberseguridad.
En definitiva, aunque Black Basta haya desaparecido, sus tácticas y estrategias siguen siendo relevantes. Y con exmiembros migrando a otros grupos, el ransomware sigue siendo una amenaza constante.
