El grupo de ransomware conocido como Black Basta llevó a cabo en mayo de 2023 un ataque contra ABB, una empresa líder a nivel mundial en tecnología de electrificación y automatización. Este ataque tuvo un impacto significativo en cientos de dispositivos de la empresa.
El grupo Black Basta se hizo conocido en 2022 cuando comenzó a operar como un servicio de ransomware (RaaS), cobrando rápidamente a numerosas víctimas. Se les ha vinculado con una serie de ataques, entre ellos, a la Asociación Dental Americana, Sobeys, Knauf, Yellow Pages Canada y el ataque a Capita.
Desde su detección, Black Basta ha demostrado ser una amenaza considerable al emplear tácticas de doble extorsión y utilizar herramientas como el troyano Qakbot, así como aprovechar las vulnerabilidades PrintNightmare, ZeroLogon y NoPac para obtener privilegios escalados.
Los atacantes han exhibido un nivel significativo de recursos y una organización meticulosa, y solo entre abril y septiembre de 2022, lograron infiltrarse en más de 90 organizaciones en diversos países.
Este grupo privado de ransomware ha demostrado ser altamente selectivo, desarrollando su propio conjunto de herramientas y colaborando con un número reducido y confiable de afiliados.
Se ha especulado que los desarrolladores de las herramientas de evasión utilizadas por Black Basta podrían estar relacionados con FIN7, basándose en el análisis de las herramientas y sus similitudes.
Además, se ha planteado la posibilidad de la participación de ex-miembros del desactivado grupo Conti, debido a las similitudes en su enfoque de desarrollo de malware, los sitios de filtración y las comunicaciones utilizadas para la negociación, el pago y la recuperación de datos, aunque Conti mencionó a través de su página encargada de filtración de información, que no tiene ninguna relación con Black Basta.
Una característica destacada de este ransomware es la utilización de herramientas de evasión de EDR (Endpoint Detection and Response). Las técnicas empleadas por Black Basta son capaces de eludir los sistemas de seguridad, como Windows Defender.
Los actores de amenaza comienzan sus ataques con el uso de Qakbot, un troyano diseñado para robar información personal, el cual se entrega a través de correos electrónicos. Black Basta utiliza diversos métodos para llevar a cabo el movimiento lateral dentro de los sistemas comprometidos, implementando scripts en lotes en diferentes máquinas con el objetivo de automatizar la terminación de procesos y servicios. Esto se realiza para maximizar el impacto del ransomware y eliminar soluciones de seguridad.
Como medida preventiva para este ataque, se recomienda bloquear los siguientes dominios y direcciones IP:
Dominios Asociados | Direcciones IP Asociadas |
jesofidiwi[.]com | 108.177.235.29 |
dimingol[.]com | 144.202.42.216 |
tevokaxol[.]com | 108.62.118.197 |
vopaxafi[.]com |
Además se recomienda cargar los siguientes datos hash a las distintas plataformas de seguridad de las organizaciones:
Adicionalmente, se pueden buscar los siguientes nombres de archivos asociados al ataque, lo que permitiría identificar si los equipos están comprometidos:
Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a ataques:
Por otra parte, la principal acción que se puede tomar frente a este tipo de ataques es capacitar a los colaboradores con programas online de educación para que sean parte activa de la protección de la organización.
https://www.pcrisk.es/guias-de-desinfeccion/11357-black-basta-ransomware
https://www.blackberry.com/us/en/solutions/endpoint-security/ransomware-protection/black-basta
https://bitlifemedia.com/2022/08/black-basta-amenaza-ransomware/
https://techmonitor.ai/technology/cybersecurity/abb-cyberattack-black-basta