El grupo de ransomware Black Basta, conocido por su capacidad de adaptación, ha introducido nuevas tácticas de ingeniería social para comprometer a sus víctimas. Desde octubre de 2024, los actores de amenazas han comenzado a distribuir cargas maliciosas como Zbot (también conocido como ZLoader) y DarkGate, empleando técnicas innovadoras para evadir defensas.
Una de las tácticas más recientes es el bombardeo de correos electrónicos, en el cual los atacantes registran la dirección de correo de la víctima en múltiples listas de distribución para inundar su bandeja de entrada. Tras este ataque inicial, los actores de amenazas se ponen en contacto directo con las víctimas, generando confusión y aumentando las posibilidades de interacción.
Ataques Mediante Suplantación y Herramientas de Acceso Remoto
Desde agosto de 2024, los ciberdelincuentes han utilizado Microsoft Teams como un canal para acercarse a sus víctimas, haciéndose pasar por personal de soporte o del área de TI. En algunos casos, llegan a hacerse pasar por empleados legítimos dentro de la organización atacada.
Una vez que logran la interacción, instan a las víctimas a instalar software de acceso remoto legítimo como AnyDesk, TeamViewer, ScreenConnect o incluso Quick Assist de Microsoft. Este último ha llevado a Microsoft a rastrear al grupo bajo el nombre Storm-1811, debido al abuso continuo de esta herramienta para desplegar Black Basta.
Los atacantes también utilizan el cliente OpenSSH para establecer un shell inverso y, en casos más sofisticados, envían códigos QR maliciosos a través de chats. Aunque inicialmente se sospechó que los códigos QR eran usados para robar credenciales, investigaciones de ReliaQuest sugieren que podrían redirigir a las víctimas a infraestructuras maliciosas adicionales.
Cargas Maliciosas y Objetivos del Ataque
Una vez que los atacantes logran acceso remoto, entregan múltiples cargas maliciosas que facilitan el robo de credenciales y preparan el entorno para futuros ataques. Entre las herramientas utilizadas se encuentran:
- KNOTWRAP: Un dropper en memoria que ejecuta cargas adicionales.
- KNOTROCK: Una utilidad basada en .NET para ejecutar el ransomware.
- DAWNCRY: Un dropper en memoria que descifra recursos incrustados con una clave predefinida.
- PORTYARD: Un túnel para conexiones C2 (comando y control) con un protocolo binario personalizado.
- COGSCAN: Una herramienta de reconocimiento para identificar hosts en la red.
Según Rapid7, tras el acceso inicial, los operadores de Black Basta buscan rápidamente credenciales del usuario, configuraciones de VPN y posibles métodos para evadir autenticación multifactor (MFA). Estos datos les permiten infiltrarse profundamente en los sistemas de las organizaciones objetivo.
Evolución y Contexto de Black Basta
Emergido tras la disolución del grupo Conti en 2022, Black Basta comenzó utilizando el troyano QakBot como vector inicial. Sin embargo, el grupo ha diversificado sus métodos, combinando malware especializado y técnicas de ingeniería social, lo que marca un cambio hacia un modelo híbrido de ataques.
El investigador Yelisey Bohuslavskiy de RedSense señaló:
“La evolución de Black Basta muestra una transición peculiar de un enfoque basado en botnets a un modelo que integra la ingeniería social con la entrega de malware.”
Recomendaciones para Prevenir y Mitigar Riesgos
- Educación al Usuario: Capacitar a los empleados para identificar tácticas de suplantación, como correos de bombardeo y comunicaciones inusuales en plataformas como Microsoft Teams.
- Restricción de Software de Acceso Remoto: Limitar el uso de herramientas como AnyDesk y TeamViewer, configurándolas para que solo puedan ser instaladas por administradores autorizados.
- Análisis de Códigos QR: Desalentar el escaneo de códigos QR no verificados, especialmente aquellos enviados en canales no oficiales.
- Monitoreo de Actividad en Red: Implementar sistemas de detección de intrusos (IDS) para identificar conexiones anómalas o uso no autorizado de herramientas como OpenSSH.
Conclusión: La evolución de Black Basta resalta la sofisticación creciente de los ciberataques. Con un enfoque en la ingeniería social y el abuso de herramientas legítimas, las organizaciones deben reforzar su postura de seguridad y anticipar estas amenazas avanzadas.