En un ataque que resalta la creciente amenaza cibernética, la empresa española de ingeniería y tecnología Amper ha sido víctima de un devastador ciberataque perpetrado por el grupo de ransomware Black Basta. Los atacantes lograron exfiltrar 650 gigabytes de datos críticos, incluyendo información de proyectos, usuarios y empleados, como nóminas y datos financieros.
El Impacto en una Empresa Clave
Amper, reconocida por su trabajo en sectores vitales como defensa, seguridad, energía y telecomunicaciones, aún no ha confirmado oficialmente la magnitud del ataque. Sin embargo, las primeras investigaciones apuntan a Black Basta como el autor del asalto. Este grupo de ciberdelincuentes ha ganado notoriedad global por su uso efectivo de ransomware, afectando a más de 500 organizaciones desde su aparición en la primavera de 2022.
Black Basta: Un Jugador Predominante en Ransomware como Servicio (RaaS)
Black Basta ha emergido rápidamente como un actor significativo en el ámbito del RaaS (Ransomware as a Service). Según el Instituto Nacional de Ciberseguridad de España (Incibe), este grupo utiliza técnicas avanzadas para evadir las defensas tradicionales y cifrar datos críticos, lo que ha resultado en un número alarmante de víctimas a nivel mundial.
Herramientas y Técnicas de Infiltración
El éxito de Black Basta se debe a su habilidad para infiltrarse y moverse lateralmente dentro de las redes de sus objetivos utilizando una combinación de herramientas sofisticadas. Entre las herramientas empleadas destacan:
- SoftPerfect Network Scanner
- BITSAdmin
- Cobalt Strike
- ConnectWise ScreenConnect
- PsExec
Para la escalada de privilegios, utilizan Mimikatz y para la exfiltración de datos antes del cifrado, RClone. Además, aprovechan vulnerabilidades como ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278 y CVE-2021-42287) y PrintNightmare (CVE-2021-34527).
Métodos de Infección
Black Basta emplea técnicas de phishing altamente efectivas. Los atacantes envían correos electrónicos con archivos ZIP que contienen imágenes ISO diseñadas para evadir los mecanismos de seguridad.
Una vez dentro, el malware lleva a cabo diversas acciones maliciosas, como monitorear y registrar pulsaciones de teclas, recolectar credenciales de acceso y propagarse a otros sistemas de la red mediante técnicas de movimiento lateral.
Conexión con FIN7
Investigaciones recientes sugieren una conexión entre Black Basta y el grupo de ciberdelincuentes rusos FIN7, también conocido como Carbanak. Esta relación añade una capa adicional de complejidad a la amenaza, ya que FIN7 es conocido por su sofisticación en ataques cibernéticos. Herramientas como WindefCheck.exe, utilizadas por Black Basta, han sido vinculadas a FIN7, indicando una posible colaboración o compartición de integrantes.
Cifrado de Datos
Black Basta cifra los datos de sus víctimas utilizando una combinación de ChaCha20 y RSA-4096. Este cifrado robusto dificulta la recuperación de archivos, aunque existe una herramienta llamada ‘Black Basta Buster’ que intenta descifrar los datos. No obstante, debido a la complejidad del cifrado, la recuperación no siempre es posible.
Conclusión
El ataque a Amper es un claro recordatorio de la sofisticación creciente de los ciberdelincuentes y la necesidad urgente de fortalecer las defensas digitales. Black Basta sigue siendo una amenaza significativa, y su conexión con FIN7 complica aún más el panorama de ciberseguridad. Las empresas deben priorizar la ciberseguridad para proteger su información crítica y mantener la integridad de sus infraestructuras digitales.
