Los cibercriminales nunca descansan, y la forma en que encuentran nuevas maneras de atacar es tan inquietante como creativa. Uno de los nombres que más está dando de qué hablar es Black Basta, un ransomware que ha llevado la extorsión a otro nivel. Desde octubre de 2024, este grupo de hackers han estado cambiando el juego. Ahora están usando nuevas tácticas de ingeniería social y repartiendo malware como Zbot y DarkGate para llevar a cabo sus ataques. Parece que están renovando su arsenal para seguir un paso adelante.
Evolución de Ransomware Black Basta: Nuevas tácticas y capacidades
Los atacantes detrás de Black Basta han adoptado tácticas bastante molestas (y peligrosas) para engañar a sus objetivos. Según Rapid7, están bombardeando a los usuarios con toneladas de correos electrónicos, logrando esto al inscribir sus direcciones en múltiples listas de correo al mismo tiempo. Una vez que logran saturar la bandeja de entrada, se ponen en contacto directamente con las víctimas.
Por si fuera poco, también han sido detectados en Microsoft Teams, haciéndose pasar por personal de soporte técnico o del área de TI de la misma organización que están atacando. Sí, literalmente intentan hacerse pasar por alguien de tu equipo para ganarse tu confianza.
En algunos casos, convencen a las víctimas para que instalen software de acceso remoto legítimo como AnyDesk, TeamViewer, ScreenConnect o incluso Quick Assist de Microsoft. De hecho, Microsoft está monitoreando a este grupo (al que llama Storm-1811) por su abuso de Quick Assist como parte de su estrategia para desplegar Black Basta. Una vez que logran acceso, tienen vía libre para ejecutar su ataque.
Entre sus nuevas estrategias, los atacantes están utilizando el cliente OpenSSH para establecer un shell inverso, y en algunos casos envían códigos QR maliciosos a las víctimas a través de chats. Estos códigos, bajo la excusa de "agregar un dispositivo confiable", probablemente buscan robar credenciales o dirigir a las víctimas hacia infraestructura maliciosa adicional.
Código QR enviado por black basta
Una vez que logran acceso remoto (gracias a herramientas como AnyDesk u otras similares), los atacantes descargan cargas maliciosas adicionales en el sistema comprometido. Entre estas se encuentran programas diseñados para recolectar credenciales y malware como Zbot (también conocido como ZLoader) o DarkGate, que a menudo sirven como puerta de entrada para ataques más avanzados.
El objetivo principal parece ser claro: mapear rápidamente el entorno comprometido, extraer credenciales y, cuando es posible, robar archivos de configuración de VPN. Con esta información, junto con credenciales robadas y posibles maneras de evadir la autenticación multifactor (MFA), los atacantes podrían obtener acceso directo al entorno de la víctima, escalando aún más el ataque.
Black Basta, que surgió tras el colapso del grupo Conti en 2022, comenzó usando herramientas como QakBot para comprometer sistemas, pero ha ido evolucionando hacia técnicas más centradas en ingeniería social. En la actualidad, el grupo ha desarrollado una serie de herramientas personalizadas para reforzar sus operaciones:
- KNOTWRAP: Un cuentagotas que opera exclusivamente en memoria y ejecuta cargas útiles adicionales.
- KNOTROCK: Una utilidad basada en .NET para desplegar el ransomware en sí.
- DAWNCRY: Otro cuentagotas que descifra y ejecuta recursos en memoria utilizando claves codificadas.
- PORTYARD: Una herramienta para establecer conexiones con servidores de comando y control (C2) a través de un protocolo binario personalizado.
- COGSCAN: Un módulo de reconocimiento en .NET que identifica y lista hosts disponibles en la red.
Black Basta ha pasado de depender principalmente de botnets a un modelo híbrido que combina el uso de malware avanzado con ingeniería social. Este cambio en sus tácticas demuestra cómo los atacantes están cada vez más enfocados en personalizar sus métodos para superar las defensas de las organizaciones, haciendo sus ataques más difíciles de detectar y contrarrestar.
Conoce más sobre: Entendiendo el Movimiento Lateral en los Ataques de Ransomware
¿Cómo TecnetOne ayuda a las empresas a protegerse contra el ransomware?
La mejor estrategia contra el ransomware siempre será la prevención. En TecnetOne entendemos que proteger a tu empresa contra amenazas como Black Basta requiere una combinación de tecnología avanzada, capacitación y vigilancia constante. Estas son algunas de las medidas clave que implementamos para ayudarte a reducir significativamente el riesgo de un ataque:
1. Mantén tus sistemas actualizados: La mayoría de los ataques comienzan explotando vulnerabilidades conocidas en software desactualizado. Asegúrate de que todos los sistemas, aplicaciones y dispositivos estén al día con los parches de seguridad más recientes.
2. Implementa autenticación multifactor (MFA): La MFA dificulta enormemente que los atacantes accedan a tus sistemas, incluso si logran obtener tus credenciales.
3. Realiza copias de seguridad regulares con TecnetProtect: La mejor defensa contra el ransomware es estar preparado para restaurar tus datos en caso de un ataque. Con TecnetProtect, nuestra solución de ciberseguridad y backups, tus datos críticos estarán seguros en un entorno separado, protegido y siempre disponible para recuperaciones rápidas. Además, TecnetProtect cuenta con funcionalidades avanzadas de protección contra ransomware, diseñadas para detectar y bloquear actividades sospechosas antes de que puedan comprometer tu información. Esto asegura que tu negocio pueda seguir operando sin interrupciones y sin la necesidad de pagar rescates.
4. Capacita a tu personal con el programa de TecnetOne: El phishing sigue siendo una de las principales tácticas utilizadas por los atacantes para obtener acceso inicial. En TecnetOne ofrecemos un programa de capacitación especializado para usuarios finales, diseñado para enseñarles a identificar correos electrónicos sospechosos, evitar enlaces peligrosos y manejar archivos adjuntos con cuidado. Al fortalecer a tu equipo, reducimos significativamente el riesgo de errores humanos.
5. Monitorea tu red en tiempo real con nuestro servicio administrado: La detección temprana es clave para detener los ataques antes de que causen daño. TecnetOne ofrece un servicio administrado de monitoreo de red, infraestructura y aplicaciones, que utiliza herramientas avanzadas para detectar actividades sospechosas en tiempo real. Esto asegura que cualquier posible amenaza sea identificada y gestionada de inmediato.
6. Restringe el acceso a información sensible: Adopta el principio de privilegios mínimos, asegurándote de que solo los trabajadores que realmente lo necesiten tengan acceso a datos críticos.
7. Realiza auditorías de seguridad regulares: Las auditorías regulares son esenciales para identificar y corregir vulnerabilidades antes de que los atacantes puedan explotarlas. En TecnetOne realizamos pruebas de penetración y auditorías de seguridad completas para asegurarnos de que tu infraestructura esté siempre un paso adelante frente a los atacantes.
Conclusión
Black Basta representa una amenaza significativa para las organizaciones de todo el mundo debido a su capacidad para adaptarse y evolucionar. Sin embargo, la implementación de medidas preventivas efectivas y la educación continua en ciberseguridad pueden reducir significativamente el riesgo de ser víctima de este grupo de ransomware.
En TecnetOne nos enfocamos en ofrecer soluciones integrales que no solo fortalecen la ciberseguridad de tu empresa, sino que también te preparan para enfrentar cualquier desafío. Desde la capacitación de tu equipo hasta el monitoreo constante de tu infraestructura, trabajamos contigo para mantener tus operaciones protegidas frente a amenazas como el ransomware.