¿Qué es el ransomware Basta Negro?

El galardonado ThreatDown MDR detiene las amenazas que otros pasan por alto

Explorar MDR

Introducción

Se cree que Black Basta tiene conexiones con grupos ciberdelincuentes consolidados como FIN7 y los restos de la banda de ransomware Conti. Estas afiliaciones sugieren un linaje de experiencia ciberdelincuente avanzada. El grupo surgió durante un período de agitación en el ecosistemadel ransomware, llenando los vacíos dejados por otros grupos disueltos o reestructurados.

Modelo operativo y técnicas de Basta Negro

Al igual que muchas bandas modernas de ransomware, Black Basta opera con el modelo RaaS, en el que los afiliados despliegan el ransomware a cambio de una parte del pago del rescate. Este enfoque permite al equipo central ampliar sus operaciones reclutando afiliados en todo el mundo.

Acceso inicial y explotación

El grupo se basa en gran medida en campañas de phishing y en la explotación de vulnerabilidades de software conocidas, como fallos en herramientas de acceso remoto como ConnectWise ScreenConnect y vulnerabilidades como ZeroLogon y PrintNightmare. Estas vulnerabilidades permiten introducirse en las redes objetivo.

Herramientas y tácticas

Black Basta utiliza una serie de herramientas para la infiltración en la red, el movimiento lateral y la exfiltración de datos. Estas incluyen:

  • PsExec y SoftPerfect para el movimiento lateral.
  • Mimikatz para la recolección de credenciales.
  • RClone para la exfiltración de datos.
  • Scripts de PowerShell para desactivar endpoint protection.

Una vez establecido el acceso, Black Basta cifra los sistemas de las víctimas y elimina las instantáneas para impedir su recuperación. Utilizan tácticas de doble extorsión, amenazando con liberar los datos robados a menos que se pague el rescate.

Incidentes clave de Basta Negro

  • Ataques al sector sanitario: Las organizaciones sanitarias son especialmente vulnerables debido a su dependencia de un funcionamiento ininterrumpido. Black Basta ha atacado hospitales, provocando interrupciones que han puesto en peligro la atención a los pacientes.
  • Infraestructuras críticas: los ataques contra empresas de servicios públicos y manufactureras demuestran la capacidad y la voluntad del grupo de atacar sectores con un impacto social significativo.
  • Ataques de alto perfil: En varios casos, Black Basta aprovechó vulnerabilidades recién reveladas a los pocos días de su anuncio, lo que demuestra su adaptabilidad técnica.

Medidas defensivas y mitigaciones para Basta Negro

Agencias gubernamentales comola CISA, el FBI y el Departamento de Salud y Servicios Humanos (HHS) han publicado avisos en los que se detallan estrategias de mitigación. Las medidas recomendadas incluyen:

  • Gestión regular patch management para corregir vulnerabilidades conocidas.
  • Segmentación de la red para limitar los movimientos laterales.
  • Estrategias de copia de seguridad sólidas para garantizar la recuperación sin pagar un rescate.
  • Formación de los empleados para reducir la susceptibilidad a los ataques de phishing.

También se recomienda a las organizaciones que implementen solucionesendpoint detection and response EDR), a pesar de que se conocen los métodos que utiliza Black Basta para desactivar este tipo de defensas.

Tendencias emergentes y preocupaciones futuras de Basta Negro

El panorama del ransomware está evolucionando, con grupos como Black Basta adaptando continuamente sus tácticas. Es probable que aumente el uso de técnicas avanzadas, como la explotaciónde vulnerabilidades de día ceroy el aprovechamiento de amenazas internas. Además, las conexiones del grupo con otras organizaciones de ciberdelincuencia suscitan preocupación por la colaboración y el intercambio de conocimientos dentro del ecosistema del ransomware.

Conclusión

Black Basta representa una amenaza significativa y en constante evolución dentro del panorama de la ciberseguridad. Sus sofisticadas operaciones, sus impactantes tácticas y su alcance global subrayan la importancia de las medidas proactivas y la cooperación internacional en la lucha contra el ransomware. A medida que el grupo sigue perfeccionando sus métodos, las organizaciones deben mantenerse alerta y emplear marcos de ciberseguridad integrales para mitigar los riesgos de forma eficaz.

Para obtener más detalles sobre los métodos de Black Basta y las defensas recomendadas, consulte los recursos de la CISAy otras agencias de ciberseguridad.

Recursos destacados

Preguntas frecuentes (FAQ) sobre el ransomware Black Basta

¿Qué es el ransomware Black Basta y cómo funciona?

Black Basta es un grupo de ransomware que surgió en 2022 y opera bajo un modelo de ransomware como servicio (RaaS). Los afiliados ejecutan los ataques y obtienen una parte del pago del rescate. El grupo utiliza phishing, aprovecha vulnerabilidades y despliega herramientas como PsExec y Mimikatz para infiltrarse en la red y extraer datos. Emplean una estrategia de doble extorsión cifrando los datos y amenazando con publicar la información robada.

¿Qué sectores se ven más afectados por los ataques de Black Basta?

Black Basta apunta a una amplia gama de sectores, entre ellos la salud, la industria manufacturera y las infraestructuras críticas. El sector sanitario se ve especialmente afectado debido a su dependencia de la continuidad de las operaciones, lo que hace que las interrupciones puedan poner en peligro la vida de las personas.

¿Qué medidas pueden tomar las organizaciones para defenderse del Basta Negro?

Las defensas recomendadas incluyen actualizar y parchear regularmente el software, implantar sistemas robustos de detección de puntos finales, mantener copias de seguridad seguras y formar a los empleados para que identifiquen los intentos de phishing. La segmentación de redes y el uso de autenticación multifactor también pueden reducir las vulnerabilidades.