Skip to content
Marcelo Carvajal24-05-233 min read

Ransomware Black Basta y el uso de herramientas de evasión

El grupo de ransomware conocido como Black Basta llevó a cabo en mayo de 2023 un ataque contra ABB, una empresa líder a nivel mundial en tecnología de electrificación y automatización. Este ataque tuvo un impacto significativo en cientos de dispositivos de la empresa.

El grupo Black Basta se hizo conocido en 2022 cuando comenzó a operar como un servicio de ransomware (RaaS), cobrando rápidamente a numerosas víctimas. Se les ha vinculado con una serie de ataques, entre ellos, a la Asociación Dental Americana, Sobeys, Knauf, Yellow Pages Canada y el ataque a Capita.

Desde su detección, Black Basta ha demostrado ser una amenaza considerable al emplear tácticas de doble extorsión y utilizar herramientas como el troyano Qakbot, así como aprovechar las vulnerabilidades PrintNightmare, ZeroLogon y NoPac para obtener privilegios escalados.

Los atacantes han exhibido un nivel significativo de recursos y una organización meticulosa, y solo entre abril y septiembre de 2022, lograron infiltrarse en más de 90 organizaciones en diversos países.

¿Quién está detrás de Black Basta?

Este grupo privado de ransomware ha demostrado ser altamente selectivo, desarrollando su propio conjunto de herramientas y colaborando con un número reducido y confiable de afiliados.

Se ha especulado que los desarrolladores de las herramientas de evasión utilizadas por Black Basta podrían estar relacionados con FIN7, basándose en el análisis de las herramientas y sus similitudes.

Además, se ha planteado la posibilidad de la participación de ex-miembros del desactivado grupo Conti, debido a las similitudes en su enfoque de desarrollo de malware, los sitios de filtración y las comunicaciones utilizadas para la negociación, el pago y la recuperación de datos, aunque Conti mencionó a través de su página encargada de filtración de información, que no tiene ninguna relación con Black Basta.

Evasión de seguridad y propagación eficiente

Una característica destacada de este ransomware es la utilización de herramientas de evasión de EDR (Endpoint Detection and Response). Las técnicas empleadas por Black Basta son capaces de eludir los sistemas de seguridad, como Windows Defender.

Los actores de amenaza comienzan sus ataques con el uso de Qakbot, un troyano diseñado para robar información personal, el cual se entrega a través de correos electrónicos. Black Basta utiliza diversos métodos para llevar a cabo el movimiento lateral dentro de los sistemas comprometidos, implementando scripts en lotes en diferentes máquinas con el objetivo de automatizar la terminación de procesos y servicios. Esto se realiza para maximizar el impacto del ransomware y eliminar soluciones de seguridad.

 

IoC de QAKBOT de BLACK BASTA

Como medida preventiva para este ataque, se recomienda bloquear los siguientes dominios y direcciones IP:

Dominios Asociados Direcciones IP Asociadas
jesofidiwi[.]com  108.177.235.29
dimingol[.]com  144.202.42.216
tevokaxol[.]com  108.62.118.197
vopaxafi[.]com   

Además se recomienda cargar los siguientes datos hash a las distintas plataformas de seguridad de las organizaciones:

  • 75b2593da627472b1c990f244e24d4e971c939e7 (aficionado.tmp)
  • 3a852c006085d0ce8a18063e17f525e950bb914c (cob_54.dll)
  • 4202bf2408750589e36750d077746266176ac239 (cob_56.dll)

Adicionalmente, se pueden buscar los siguientes nombres de archivos asociados al ataque, lo que permitiría identificar si los equipos están comprometidos:

  • Aficionado.tmp (cargador Qbot)
  • fwpolicyiomgr.dll (módulo Qbot)
  • plugin_payload54.dll
  • Plugin_payload55.dll
  • cob_54.dll

Recomendaciones

Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a ataques:

    • Protección proactiva: Nuestro equipo de Detección y Respuesta identifica y bloquea cualquier actividad maliciosa antes de que pueda causar daños.
    • Respuesta rápida: Servicios Administrados genera una respuesta rápida y efectiva frente a ataques. Nuestros procesos de respuesta funcionan de forma inmediata para identificar y minimizar el impacto de la amenaza.

Por otra parte, la principal acción que se puede tomar frente a este tipo de ataques es capacitar a los colaboradores con programas online de educación para que sean parte activa de la protección de la organización.

Fuentes

https://www.bleepingcomputer.com/news/security/multinational-tech-firm-abb-hit-by-black-basta-ransomware-attack/

https://www.bleepingcomputer.com/news/security/cybersecurity-firm-dragos-discloses-cybersecurity-incident-extortion-attempt/

https://www.cybereason.com/blog/threat-alert-aggressive-qakbot-campaign-and-the-black-basta-ransomware-group-targeting-u.s.-companies

https://www.pcrisk.es/guias-de-desinfeccion/11357-black-basta-ransomware

https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/ransomware-spotlight-blackbasta

https://www.blackberry.com/us/en/solutions/endpoint-security/ransomware-protection/black-basta

https://bitlifemedia.com/2022/08/black-basta-amenaza-ransomware/

https://techmonitor.ai/technology/cybersecurity/abb-cyberattack-black-basta

https://unaaldia.hispasec.com/2022/11/vinculan-ransomware-black-basta-con-los-ciberdelincuentes-rusos-fin7.html

https://www.itsitio.com/us/advierten-sobre-el-peligro-de-black-basta-el-malware-capaz-de-desactivar-los-sistemas-de-seguridad/

 

Marcelo Carvajal

ARTÍCULOS RELACIONADOS