Ransomware Black Basta

En el ámbito de la seguridad informática, nos encontramos con retos cada vez más complejos que prueban nuestras habilidades de defensa digital. Recientemente, hemos sido testigos de un ataque sin precedentes realizado por el ramsomware Black Basta.

Más de 500 organizaciones en todo el mundo, desde pequeñas empresas hasta grandes corporaciones, han sido afectadas por Black Basta, que ha demostrado ser una amenaza significativa. El alcance del ataque ha generado inquietud y ha cuestionado la solidez de nuestra infraestructura digital.

Su capacidad para eludir las defensas tradicionales y el cifrado de datos críticos hace que Black Basta sea particularmente preocupante en comparación con otros ramsomware.

Las cadenas de ataques que han involucrado ransomware se han apoyado en herramientas como el escáner de red SoftPerfect, BITSAdmin, balizas de Cobalt Strike, ConnectWise ScreenConnect y PsExec para el movimiento lateral, así como en Mimikatz para la escalada de privilegios y RClone para la filtración de datos previa al cifrado.

Además, se han utilizado otros métodos para obtener privilegios elevados, como la explotación de vulnerabilidades de seguridad como ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278 y CVE-2021-42287) y PrintNightmare (CVE-2021-34527).

La implementación de una herramienta llamada Backstab, diseñada para deshabilitar el software de detección y respuesta de puntos finales (EDR), también ha sido necesaria en algunos casos. Es importante señalar que los afiliados de LockBit también han utilizado Backstab en el pasado.

En medio de esta crisis, hemos visto colaboraciones y solidaridad en la comunidad tecnológica; empresas como Wire, Proton y Apple se han unido para contener la amenaza de Black Basta, demostrando que la unión y la cooperación son esenciales hoy en día.

Los informes proporcionados por organizaciones como el Centro de Información y Soporte para Incidentes de Seguridad Informática (CISA) y el Equipo de Respuesta a Incidentes de Seguridad Informática de Telconet (CSIRT Telconet) han demostrado la gravedad del problema. Estos informes destacan la urgencia de reforzar nuestras defensas cibernéticas y adoptar un enfoque proactivo en cuanto a la seguridad digital.

“Los afiliados de Black Basta utilizan técnicas comunes de acceso inicial, como el phishing y la explotación de vulnerabilidades conocidas, y luego emplean un modelo de doble extorsión, cifrando sistemas y exfiltrando datos”, dice el boletín [PDF].

Según las pruebas, los operadores de Black Basta tienen conexiones con otro grupo criminal llamado FIN7, que ha llevado a cabo ataques de ransomware desde 2020. Finalmente, la amenaza del ransomware Black Basta nos recuerda que debemos estar preparados y atentos en el mundo digital que siempre cambia, y que es es imprescindible trabajar juntos y comprometernos continuamente con la seguridad cibernética, para construir un futuro digital más seguro y resiliente.