Basta negro

Black Basta (alias BlackBasta) es un operador de ransomware y empresa criminal de ransomware como servicio (RaaS) que apareció a principios de 2022 e inmediatamente se convirtió en uno de los actores de amenazas RaaS más activos del mundo, acumulando 19 víctimas empresariales destacadas y más de 100 víctimas confirmadas en sus primeros meses de operación. Black Basta se dirige a organizaciones de Estados Unidos, Japón, Canadá, Reino Unido, Australia y Nueva Zelanda con ataques muy selectivos, en lugar de emplear un enfoque de "rociar y rociar". Las tácticas de rescate del grupo utilizan una doble táctica de extorsión, cifrando los datos críticos y los servidores vitales de sus víctimas y amenazando con publicar los datos sensibles en el sitio público de filtraciones del grupo.

Se cree que el núcleo de miembros de Black Basta surgió del extinto grupo de actores de amenazas Conti debido a las similitudes en su enfoque del desarrollo de malware, los sitios de filtración y las comunicaciones para la negociación, el pago y la recuperación de datos. Black Basta también se ha relacionado con el actor de amenazas FIN7 (alias Carbanak) por las similitudes en sus módulos personalizados de evasión de Endpoint Detection and Response (EDR) y el uso coincidente de direcciones IP para operaciones de mando y control (C2).

En las primeras campañas, los ataques de Black Basta comenzaban con campañas de spear-phishing muy selectivas para obtener acceso inicial. En abril de 2022, el grupo empezó a anunciar su intención de comprar acceso a redes corporativas y compartir los beneficios con intermediarios de acceso inicial (IAB) afiliados. Tras obtener el acceso inicial, Black Basta despliega una serie de tácticas de segunda fase para adquirir credenciales de dominio de Windows y penetrar lateralmente en la red de un objetivo, robar datos confidenciales y desplegar ransomware. 

Para lograr los objetivos de la segunda etapa, Black Basta utiliza un conjunto diverso de tácticas, incluido el uso de QakBot stealer (también conocido como QBot o Pinkslipbot), MimiKatz y el aprovechamiento de la API nativa de Windows Management Instrumentation (WMI) para la recolección de credenciales y, a continuación, utiliza comandos Powershell y PsExec para obtener acceso a puntos finales de red adyacentes utilizando las credenciales extraídas. Black Basta también puede explotar las vulnerabilidades ZeroLogon, NoPac y PrintNightmare para escalar privilegios locales y de dominio activo de Windows. Para el control remoto C2 de los sistemas infectados, Black Basta instala Cobalt Strike Beacons, utiliza SystemBC para el proxy C2 y la herramienta Rclone para la exfiltración de datos.

La fase de cifrado de un ataque de Black Basta comienza con la desactivación de los productos antivirus, la ejecución de una carga útil de cifrado de forma remota a través de PowerShell y la eliminación de las instantáneas del sistema mediante el programa vssadmin.exe. A partir de ahí, Black Basta ejecuta una carga útil de ransomware personalizada que ha sufrido al menos un cambio de versión significativo desde que se observó por primera vez. La primera versión del módulo de cifrado de Black Basta era similar al ransomware Conti. En cambio, la segunda versión mejorada utiliza una gran ofuscación y nombres de archivo aleatorios para eludir los productos EDR y ha sustituido el uso de los algoritmos de la biblioteca aritmética de precisión múltiple de GNU (GMP) por la biblioteca de cifrado Crypto++. El módulo de cifrado de Black Basta 2.0 utiliza el algoritmo XChaCha20 para el cifrado simétrico, un par de claves de Criptografía de Curva Elíptica (ECC) único para cifrar y anteponer la clave simétrica junto con la clave pública ECC para descifrarla y con un nonce a los datos del archivo cifrado.

Black Basta también ha utilizado otras técnicas distintas en sus ataques, como desactivar los servicios DNS del sistema comprometido para complicar el proceso de recuperación impidiendo que acceda a Internet y desplegar una variante de ransomware dirigida a máquinas virtuales (VM) VMware ESXi basadas en Linux. 

La prevención de un ataque Black Basta depende de la implantación de un programa integral de ciberseguridad empresarial que incluya tácticas defensivas para impedir que los atacantes obtengan el acceso inicial, la implementación de productos avanzados de seguridad para puntos finales y el mantenimiento de una estrategia eficaz de copias de seguridad que permita una rápida recuperación tras el éxito de un ataque de ransomware.

Las tácticas para protegerse contra un ataque de Basta Negra incluyen:

• Considere la posibilidad de impartir formación de concienciación a los usuarios para educar al personal sobre las técnicas de phishing y desarrolle procedimientos operativos estándar (SOP) para el tratamiento de correos electrónicos y documentos sospechosos.
• Revise los controles de seguridad de la red relativos a la TTP conocida de Black Basta y prepárese para detectar IoC y firmas de archivos conocidos de Black Basta.
• Instalar y configurar productos avanzados de seguridad de puntos finales que supervisen los puntos finales en busca de actividades sospechosas.
• Implantar herramientas modernas de gestión de identidades y accesos
• Implantar una estrategia de copia de seguridad fiable con copias de seguridad offline bien protegidas y poner en práctica procedimientos de recuperación en caso de catástrofe para garantizar el cumplimiento de los objetivos de tiempo medio de recuperación (MTTR).