Los ciberdelincuentes nunca bajan los brazos. Cuando las empresas mejoran sus sistemas de seguridad, ellos simplemente cambian de táctica, encuentran nuevos puntos débiles y vuelven a atacar. Uno de los grupos que más preocupa últimamente es Black Basta, y no precisamente por cosas buenas. Se han ganado su reputación al llevar los ciberataques a un nivel superior, utilizando malware personalizado para infiltrarse en redes corporativas, evadir detecciones y causar daños significativos. Nombres como ZBot y DarkGate ya están en boca de los expertos en ciberseguridad por una razón: son las herramientas con las que este grupo logra meterse en los sistemas y sacar provecho antes de que alguien lo note.
Pero, ¿cómo lo hacen? Ahí está lo preocupante. Black Basta ha demostrado ser un grupo calculador y metódico que combina tácticas avanzadas, como phishing dirigido, explotación de herramientas de acceso remoto y hasta suplantación de identidad en plataformas como Microsoft Teams, para ganar acceso inicial a los sistemas de sus víctimas. Desde ahí, despliegan su arsenal de malware, incluyendo las peligrosas variantes ZBot y DarkGate, adaptadas específicamente para cada ataque.
Lo que antes era un problema para ciertas industrias específicas ahora es una amenaza generalizada. Este grupo no discrimina: sectores como salud, finanzas, fabricación e incluso seguridad nacional ya han estado en su lista de objetivos. Y lo que más preocupa a los expertos es que sus ataques son cada vez más dirigidos y sofisticados. ¿La lección aquí? Las empresas, sin importar su tamaño, deben reforzar sus defensas, porque la próxima víctima podría ser cualquiera.
¿Cómo opera Black Basta? De correos falsos a malware avanzado
Los ataques de Black Basta no empiezan con un clic accidental ni con un descuido cualquiera, sino con una estrategia bien planificada que satura a sus víctimas con correos electrónicos de phishing. La idea es simple: lanzar una avalancha de mensajes para crear caos en las bandejas de entrada y, en medio de esa confusión, lograr que uno de sus correos maliciosos pase desapercibido y haga clic en la persona equivocada. Pero aquí no termina la jugada.
Una vez que logran entrar en contacto, los operadores del grupo suben la apuesta. Utilizan plataformas como Microsoft Teams para hacerse pasar por personal de soporte técnico, usando nombres como “Help Desk” o “Technical Support”. ¿El objetivo? Ganarse la confianza de la víctima y persuadirla para que instale herramientas de acceso remoto como AnyDesk, QuickAssist o TeamViewer. Una vez instaladas, estas herramientas se convierten en una puerta abierta para que los atacantes accedan a los sistemas sin levantar sospechas, esquivando los controles de seguridad tradicionales.
El arsenal de malware de Black Basta: ZBot, DarkGate y más
Una vez que los atacantes tienen acceso, no pierden el tiempo. Black Basta despliega un arsenal de malware avanzado para lograr sus objetivos, y no estamos hablando de herramientas cualquiera. Estos tipos saben lo que hacen y han perfeccionado su método usando malware personalizado y altamente evasivo.
ZBot: El ladrón de credenciales
Uno de sus favoritos es ZBot, un malware conocido por su capacidad para robar credenciales de todo tipo de servicios. ¿Por qué es importante esto? Porque con las credenciales correctas, los atacantes pueden moverse lateralmente dentro de la red y acceder a otras áreas sin levantar sospechas. Básicamente, si consiguen las contraseñas adecuadas, pueden pasearse por toda la red como si tuvieran las llaves de cada puerta.
DarkGate: El todoterreno del malware
Otro peso pesado de su arsenal es DarkGate, un malware multifuncional que puede hacer de todo: robar datos, ejecutar ransomware, vaciar procesos y cargar archivos cifrados para evitar ser detectado. Es una herramienta peligrosa porque, además de ser muy difícil de detectar, les permite a los atacantes realizar una variedad de actividades maliciosas con un solo software.
Herramientas personalizadas: El toque final
Pero lo que hace realmente peligroso a Black Basta es su uso de herramientas y scripts personalizados, diseñados específicamente para cada ataque. Esto les permite adaptarse a cada entorno y ajustar sus métodos dependiendo de las defensas que encuentren en el camino. No es un ataque genérico, es un traje a medida para cada víctima, lo que les asegura que, incluso si la empresa tiene buenas medidas de seguridad, puedan encontrar la manera de entrar.
Conoce más sobre: Hackers usan Microsoft Teams y AnyDesk para distribuir DarkGate
¿Cómo esquiva Black Basta las defensas?
Black Basta no es de esos grupos que lanzan un ataque y cruzan los dedos para que funcione. No, ellos saben que la mayoría de las empresas tienen medidas de seguridad decentes, así que su estrategia es mucho más calculada. Utilizan técnicas avanzadas para esquivar detecciones y asegurarse de que su malware pase desapercibido.
Por ejemplo, ofuscan las cargas útiles, lo que básicamente significa que camuflan el malware para que las herramientas de seguridad no lo detecten fácilmente. También aprovechan plataformas legítimas como SharePoint para distribuir malware, haciendo que el ataque parezca parte del flujo normal de trabajo. ¿Quién sospecharía de un enlace compartido a través de una herramienta que usas todos los días?
Pero quizás lo más creativo (y preocupante) es su uso de códigos QR para saltarse la autenticación multifactor (MFA). Si pensabas que agregar un segundo paso de verificación era suficiente para proteger tus cuentas, aquí tienes un recordatorio de que los ciberdelincuentes siempre van un paso por delante.
¿A quién está afectando Black Basta?
La respuesta corta: a casi todos. Black Basta no discrimina a la hora de elegir a sus víctimas. Sus ataques han impactado sectores clave como:
- Salud.
- Finanzas.
- Industria manufacturera.
- Energía.
- Seguridad nacional.
Y lo preocupante es que su alcance no se limita a una región específica. Las actividades de este grupo han afectado a empresas y organizaciones de todo el mundo, lo que los convierte en una amenaza global. Esto significa que, independientemente del sector o país, nadie está realmente a salvo. ¿La clave para no ser la próxima víctima? Estar un paso por delante, mantenerse alerta y reforzar las medidas de seguridad constantemente.
¿Cómo protegerse de Black Basta? Estrategias claras y accionables
Sabemos que la seguridad digital nunca será perfecta, pero eso no significa que estés condenado a ser la próxima víctima de un grupo como Black Basta. La clave está en tener una estrategia de seguridad en capas, lo que básicamente significa no poner todos los huevos en una sola canasta. Vamos a desglosar algunas tácticas concretas que puedes aplicar para proteger tu empresa frente a las técnicas que este grupo usa en sus ataques.
Pero antes, algo importante: No basta con instalar un antivirus y cruzar los dedos. La seguridad cibernética requiere vigilancia constante, ajustes proactivos y educación del equipo.
Estrategias para mitigar las tácticas de Black Basta
Aquí tienes un resumen de las tácticas más comunes utilizadas por Black Basta y las acciones que puedes tomar para protegerte y responder ante posibles amenazas:
| Técnica utilizada por Black Basta | Cómo mitigarla | Qué hacer si detectas algo |
|---|---|---|
| Elevación de privilegios (Omitir control de cuentas de usuario) | Limita los permisos que tienen tus usuarios. Solo los administradores deberían poder realizar cambios importantes. | Usa listas blancas de aplicaciones para evitar que se ejecuten programas no autorizados. |
| Suplantación de procesos (PID Hijacking) | Supervisa las relaciones entre procesos padre e hijo que normalmente no deberían estar conectados. | Utiliza herramientas EDR (detección y respuesta en endpoints) para identificar procesos anómalos. |
| Manipulación de cuentas de usuario | Revisa las cuentas de usuario y sus permisos de manera regular. | Activa alertas para cambios inesperados en cuentas o privilegios. |
| Modificación del registro (Claves de ejecución) | Monitorea los cambios en el registro de Windows, especialmente en las carpetas de inicio. | Bloquea las rutas críticas del registro para evitar modificaciones no autorizadas. |
| Correos de phishing (Archivos adjuntos maliciosos) | Filtra los correos electrónicos y escanea los archivos adjuntos de manera automática. | Capacita a tu equipo para que sepa identificar intentos de phishing y evitar que hagan clic en enlaces sospechosos. |
| Abuso de DNS | Supervisa el tráfico DNS de tu red para identificar conexiones sospechosas. | Bloquea dominios maliciosos e implementa extensiones de seguridad DNS (DNSSEC). |
| Robo de credenciales | Utiliza un gestor de contraseñas y asegúrate de aplicar políticas de contraseñas fuertes y seguras. | Desactiva el almacenamiento de contraseñas en texto plano en los navegadores. |
| Espionaje del portapapeles | Cifra los datos confidenciales mientras se procesan. | Supervisa el uso del portapapeles para detectar actividades anómalas. |
| Vaciado de procesos (Process Hollowing) | Supervisa la memoria y las llamadas API en tu sistema para detectar actividad inusual. | Utiliza soluciones EDR para identificar y bloquear procesos que hayan sido manipulados. |
| Registro de teclas (Keylogging) | Instala herramientas anti-keylogging para prevenir la captura de pulsaciones de teclas. | Supervisa la actividad del teclado y detecta cualquier acceso no autorizado a hilos de keylogging. |
Estas acciones te ayudarán a proteger tu red y a reaccionar rápidamente si detectas actividades sospechosas relacionadas con las tácticas de Black Basta.
Monitorea los indicadores de compromiso (IOC)
Uno de los pasos más importantes en la protección contra ataques es detectar los indicadores de compromiso (IOC). En pocas palabras, son pistas que te permiten saber si tu red ha sido comprometida, como direcciones IP sospechosas o dominios maliciosos que podrían estar intentando comunicarse con tu sistema.
Aquí tienes una lista de algunas IP sospechosas relacionadas con Black Basta que deberías monitorizar. Si alguna de estas aparece en el tráfico de tu red, es una alerta roja gigante y deberías actuar de inmediato:
- 172.81.60.122
- 179.60.149.194
- 185.130.47.96
- 188.130.206.243
- 65.87.7.151
- 88.214.25.32
- 94.103.85.114
- 109.172.87.135
- 109.172.88.38
- 145.223.116.66
- 147.28.163.206
- 184.174.97.32
- 185.229.66.224
- 185.238.169.17
- 193.29.13.60
- 212.232.22.140
- 45.61.152.154
- 46.8.232.106
- 46.8.236.61
- 66.78.40.86
- 8.209.111.227
- 8.211.34.166
- 91.212.166.91
- 93.185.159.253
Conclusión: El juego ha cambiado y las defensas también deben hacerlo
En TecnetOne, sabemos que las amenazas como Black Basta no son cosa del futuro, ya están aquí. Por eso, ofrecemos un SOC as a Service (Centro de Operaciones de Seguridad como Servicio) diseñado para proteger tu negocio en tiempo real frente a ataques avanzados, desde ransomware personalizado hasta intentos de phishing y robo de credenciales.
Nuestro equipo de expertos monitorea 24/7 tu infraestructura, detectando actividades sospechosas antes de que puedan convertirse en un problema. Además, no solo te alertamos sobre amenazas, también te ayudamos a responder y mitigar riesgos rápidamente, minimizando el impacto de cualquier incidente de seguridad.
Con nuestro SOC, tendrás la tranquilidad de contar con herramientas avanzadas, detección proactiva y estrategias personalizadas de defensa para proteger tu empresa frente a grupos sofisticados como Black Basta. No importa el tamaño de tu negocio ni el sector en el que operes, las amenazas cibernéticas no discriminan, y nosotros tampoco cuando se trata de protegerte.
