Cybersecurity News

CACTUS ransomware sigue el patrón de Black Basta: similitudes en tácticas de ataque

March 7, 2025

Investigaciones recientes han revelado inquietantes similitudes entre el ransomware CACTUS y Black Basta, uno de los grupos más activos en los últimos años. Aunque parecen actores distintos, el análisis de sus tácticas sugiere que podrían compartir afiliados o ser parte de una misma operación bajo una nueva identidad. Desde sus métodos de acceso hasta sus técnicas de evasión y extorsión, CACTUS replica el modelo de Black Basta, lo que ha encendido las alarmas en la comunidad de ciberseguridad.

Vinculación entre CACTUS y Black Basta

Más allá de las coincidencias superficiales, el análisis técnico revela que CACTUS no solo imita a Black Basta, sino que adopta sus estrategias clave. Desde el acceso inicial hasta la doble extorsión y el uso de herramientas personalizadas, ambos operan de manera casi idéntica. Esto plantea la posibilidad de que CACTUS sea una evolución de Black Basta o que antiguos afiliados estén reutilizando las mismas tácticas bajo otro nombre.

Similitudes en tácticas de ataque

Los expertos han identificado múltiples puntos en común entre ambos grupos, incluyendo:

  • Acceso inicial: Uso de credenciales comprometidas y vulnerabilidades en VPNs para infiltrarse en redes corporativas.
  • Evasión de seguridad: Desactivación de antivirus y herramientas de detección antes de ejecutar la carga maliciosa.
  • Cifrado de datos y extorsión: Bloqueo de información y amenazas de filtración para presionar a las víctimas a pagar.
  • Herramientas personalizadas: Desarrollo de malware diseñado para evadir detección y maximizar el impacto.
  • Movimiento lateral: Propagación dentro de la red comprometida para ampliar el alcance del ataque.
Uso de ingeniería social

Además de técnicas avanzadas, ambos grupos utilizan estrategias de manipulación para engañar a empleados y administradores:

  • Correos de phishing personalizados para inducir la descarga de archivos maliciosos.
  • Suplantación de identidad en llamadas para obtener credenciales o acceso remoto.
  • Ataques a proveedores de servicios, comprometiendo sus sistemas para acceder a múltiples clientes.

Esta combinación de tácticas refuerza la hipótesis de que CACTUS podría ser una evolución directa de Black Basta.

Proceso del ataque

En el último año, Black Basta ha intensificado el uso de phishing para engañar a las víctimas y hacerles instalar Quick Assist, una herramienta legítima de soporte remoto. Una vez dentro, los atacantes despliegan un cargador malicioso llamado REEDBED a través de OneDriveStandaloneUpdater.exe, permitiendo ejecutar un módulo de encriptación.

Por su parte, CACTUS ha modificado su acceso inicial tras la desarticulación de la infraestructura de QakBot, anteriormente usada por Black Basta. Ahora emplea QBACKCONNECT, lo que sugiere colaboración entre ambos grupos. También utiliza TotalExec, un script de PowerShell para automatizar la ejecución del encriptador, una táctica ya vista en Black Basta.

Recomendaciones
  1. Capacitación en seguridad: Simulaciones periódicas para concienciar sobre phishing e ingeniería social.
  2. Filtrado de correos: Implementar soluciones avanzadas para bloquear amenazas.
  3. Autenticación multifactor (MFA): Proteger accesos remotos y evitar el uso de credenciales robadas.
  4. Actualización de seguridad: Mantener herramientas de detección configuradas y actualizadas.
  5. Restricción de soporte remoto: Limitar y monitorear el uso de herramientas como Quick Assist.
  6. Segmentación de red: Aplicar medidas para evitar el movimiento lateral de amenazas.
  7. Prevención de exfiltración de datos: Detectar y bloquear intentos de robo de información.
  8. Colaboración en ciberseguridad: Mantener comunicación con expertos y autoridades sobre nuevas amenazas.
INdicadores de compromiso
Related Posts
Clear Filters
Medusa Ransomware: Una Amenaza Cibernética que Desafía la Seguridad Global
Medusa Ransomware: Una Amenaza Cibernética que Desafía la Seguridad Global
Medusa Ransomware: Una Amenaza Cibernética que Desafía la Seguridad Global
Cybersecurity News Vulnerabilities
Medusa Ransomware: Una Amenaza Cibernética que Desafía la Seguridad Global

PUNTOS CLAVES Medusa Ransomware ha comprometido infraestructuras críticas en sectores como salud, gobierno y energía. Utiliza un modelo de doble…

Read More
Palo Alto Networks advierte sobre nuevas vulnerabilidades: ¿Estás protegido?
Palo Alto Networks advierte sobre nuevas vulnerabilidades: ¿Estás protegido?
Palo Alto Networks advierte sobre nuevas vulnerabilidades: ¿Estás protegido?
Cybersecurity News
Palo Alto Networks advierte sobre nuevas vulnerabilidades: ¿Estás protegido?

Palo Alto Networks ha emitido nuevos avisos de seguridad que afectan a varios de sus productos clave, incluyendo Prisma Access,…

Read More
Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.
Privacy Policy
You have read and agreed to our privacy policy
Required