Los registros de chat internos filtrados revelan una estrategia coordinada en la que Black Basta utilizan certificados con Extended Validation (EV) para firmar archivos maliciosos. Esta táctica aprovecha la mayor confianza asociada a las aplicaciones firmadas con EV. Las organizaciones que dependen únicamente de la confianza basada en firmas se vuelven vulnerables, ya que estos archivos binarios certificados se cuelan fácilmente a través de los mecanismos de análisis convencionales. Las conversaciones detallan cómo los atacantes adquieren, gestionan y automatizan el proceso de eludir la detección mediante la firma de malware, lo que subraya el grado de disciplina organizativa que hay detrás de las operaciones de los grupos de ransomware.
¿Qué son los certificados EV y cómo los obtuvo Black Basta
Los certificados con Extended Validation (EV) son certificados digitales especiales que muestran un alto nivel de confianza en una aplicación o sitio web. La autoridad emisora de certificados (CA) realiza comprobaciones adicionales sobre la empresa o persona que solicita el certificado, asegurándose de que realmente son quienes dicen ser. En la práctica, los usuarios y muchas soluciones de seguridad confían más en el software firmado con EV porque está "verificado" por una autoridad oficial..
Aunque algunos actores de amenazas se han hecho pasar por empresas cerradas, los registros confirman que Black Basta tampoco:
1. Certificados VE adquiridos directamente
BlackBasta adquirió certificados EV por entre 4.000 y 4.500 dólares en foros clandestinos o intermediarios.
"по $4000 каждый" ("$4000 cada uno")
"таких у нас еще не было" ("nunca habíamos tenido unos como estos")
"сейчас возьму пару штук про запас" ("Cogeré un par más por si acaso")
"скидоссссс)))" ("conseguí un descuento jaja")
Estos mensajes solían ir acompañados de archivos .rar que contenían certificados EV, a menudo etiquetados con nombres de empresas (por ejemplo, EV56wallfort[SSL.com].rar, EV4Avikser-llc2023-10-27[GlobalSign].rar).
También enlazaban con plataformas de alojamiento como: https://send[.]exploit[.]in/download/... https://transfer[.]sh/... En ellas se alojaban los paquetes de certificados robados u obtenidos fraudulentamente.
2. Infraestructuras de firma remota comprometidas
El grupo utilizó las herramientas VirtualHere y YubiKey Minidriver para acceder de forma remota a los tokens EV que estaban físicamente enchufados.
**"Necesita Token17, haga doble clic para conectarse. Contraseña: ******. Token PIN is 123456" "Run certmgr.msc and check if the cert was added" "Sign your files with signtool.exe"
En un chat crítico, un usuario declara:
"я переезжаю с той рдп - она в блеках" "Me voy de ese RDP - está en la lista negra".
Esto se refiere a un servidor RDP que anteriormente albergaba infraestructura de firma sensible (probablemente tokens EV) y que estaba en la lista negra. Estos tokens suelen almacenarse en hardware (por ejemplo, YubiKeys), pero se accedía a ellos y se utilizaban de forma remota a través de herramientas como VirtualHere y signtool.exe, como se detalla en otros mensajes. Esto implica que el certificado EV no se compró de forma anónima, sino que fue robado a una empresa o desarrollador real, probablemente a través de un compromiso RDP.
Las conversaciones filtradas Black Basta identifican a dos autoridades certificadoras (emisores) de EV específicas de las que se abusó para la firma de malware : SSL.com y GlobalSign.
Flujo de trabajo operativo EV de Black Basta
Como vectores de infección iniciales se utilizaron MSI (archivos de instalación de Windows) y VBS (scripts de Visual Basic). Estos cargadores soltaban o lanzaban la carga útil real malware (por ejemplo, ransomware, PikaBot, Cobalt Strike). Al firmarlos con un certificado EV se reducían las posibilidades de que los filtros de correo electrónico, los antivirus o Windows SmartScreen los bloquearan.
Una vez en posesión de los certificados EV, los atacantes:
- Cargas útiles firmadas sólo después de encriptar para evitar desajustes de hash.
- Se han advertido mutuamente de que no deben alterar los archivos después de firmarlos, ya que ello invalida la firma EV.
- Utilizó estos certificados para firmar instaladores PikaBot reempaquetados, cargadores MSI y VBS y otros stubs de malware . Las conversaciones revelan instrucciones detalladas utilizadas por los afiliados de Black Basta Basta para firmar su malware con certificados EV, tanto para certificados basados en .pfx como para certificados EV basados en tokens de hardware (por ejemplo, YubiKey). A continuación se muestra el procedimiento de firma exacto extraído y el uso de la línea de comandos:
Firma con certificados EV basados en .pfx
Requisitos de utillaje
- SDK de Microsoft Windows (que proporciona signtool.exe)
- Archivo de certificado .pfx válido más la contraseña Ejemplo de script de firma (sign.cmd)
Ejemplo de script de firma (sign.cmd)
@echo off
set SIGNTOOL="C:\Program Files (x86)\Windows Kits\10\bin\10.0.22000.0\x64\signtool.exe"
set CERT=cert.pfx
set CONTRASEÑA=********
set FILE=calc.exe
set TIMESTAMP=http://timestamp.digicert.com
%SIGNTOOL%sign /f %CERT% /p %PASSWORD% /fd SHA256 /tr %TIMESTAMP% %FILE%Esta secuencia de comandos garantiza que el binario lleve una marca de tiempo, lo que impide la invalidación de la firma tras la expiración del certificado. Los atacantes sólo firman después de cifrar para mantener la integridad de la firma. Cualquier cambio en el binario después de la firma invalida la marca EV.
Certificados EV basados en tokens de hardware (YubiKey y VirtualHere)
Configuración del acceso remoto
- Los atacantes instalan VirtualHere tanto en el lado del cliente como en el del servidor para reenviar la conexión del token USB a través de una sesión RDP.
- El minidriver de tarjeta inteligente YubiKey se carga en la máquina remota, lo que permite a Windows reconocer el certificado en certmgr.msc.
Comando de firma
signtool.exe sign /sha1 <certificate_thumbprint> /tr http://timestamp.digicert.com /td SHA256 /fd SHA256 <payload.exe>La huella digital del certificado se obtiene a través de las propiedades del certificado de Windows o certmgr.msc. Los atacantes destacan que ajustar el binario después de firmar destruye la validez de la firma EV, por lo que firman estrictamente en último lugar.
Más información sobre el proceso Black Basta EV
- Algunos afiliados crearon scripts de automatización para firmar en bloque varios archivos utilizando plantillas sign.cmd predefinidas.
- Los registros del chat indican que se almacenaban varios certificados EV en un repositorio central. Un evento documentado de "fallo de almacenamiento" causó agitación porque "todas nuestras claves" residían en un único VDS comprometido.
- Las referencias a determinados archivos (.rar) que contienen certificados EV (por ejemplo, EV56wallfort[SSL.com].rar) confirman la práctica del grupo de conservar varios certificados para su uso bajo demanda.
- El grupo vigilaba sistemáticamente los certificados revocados, cambiando rápidamente a un nuevo certificado EV cuando aparecía la detección o cuando la autoridad de firma bloqueaba la credencial robada conocida.
¿Qué significa esto para su empresa?
Cuando malware aparece con la insignia de una empresa de confianza (a través de un certificado EV), es como un delincuente con un convincente uniforme de policía. Muchos controles automatizados podrían dejarlo pasar inicialmente. Esto erosiona la fiabilidad de los certificados digitales, dificulta la detección malware y puede provocar daños muy reales, como que un ransomware cifre los datos de una organización o que los atacantes roben información.
Si sus sistemas dependen únicamente de listas de permisos basadas en firmas o sólo confían en código firmado con EV, está en peligro. Al principio, el malware firmado con EV elude la mayoría de las comprobaciones convencionales y el escepticismo de los usuarios.
La estrategia de "bots calcetín" de los atacantes también complica la detección o el bloqueo basados en IP. Aunque se cierre un nodo, pueden cambiar a otro nodo proxy y mantener una distribución continua.
¿Qué debe hacer para defenderse de los exploits de los certificados EV?
Los certificados EV robados en posesión de los actores de amenazas sirven como una poderosa herramienta de camuflaje, mejorando la tasa de éxito de sus infecciones. Los registros de chat de Black BastaBasta confirman un patrón recurrente: una vez que los umbrales de detección aumentan para una carga útil determinada, el grupo la modifica y la vuelve a firmar con otro certificado EV, perpetuando un ciclo de distribución de archivos maliciosos de gran volumen. Este enfoque sistemático aprovecha las vulnerabilidades en la forma en que muchos controles de seguridad interpretan el código firmado, por lo que es crucial desplegar estrategias de defensa más avanzadas y centradas en el comportamiento.
Las herramientas que van más allá de la firma y buscan comportamientos sospechosos son su mejor defensa. Incluso si un archivo tiene una firma aparentemente legítima, un producto como Vectra AI Platform puede detectar acciones anómalas en su red. Combinándolo con su solución de detección y respuesta de endpoints (EDR) existente, podrá aislar o contener rápidamente los ejecutables sospechosos y evitar que se propaguen, incluso si están firmados con EV.
¿Quiere ver Vectra AI en acción? Solicite una demostración hoy mismo.