Black Basta
Black Basta’s operational methods highlighted their adaptability and willingness to exploit both technical vulnerabilities and human factors to achieve their goals. Understanding these tactics can help organizations bolster their defenses against such sophisticated threats.
El origen de Black Basta
Black Basta was a financially motivated ransomware group active from early 2022 until January 2025, known for high-impact double extortion operations targeting organizations across North America, Europe, and Asia. The group compromised corporate networks to deploy ransomware payloads, exfiltrated sensitive data, and pressured victims into paying multimillion-dollar ransoms under threat of public leaks.
Black Basta often leveraged:
- Acceso inicial a través de credenciales robadas, malspam o exposición a escritorios remotos.
- Cobalt StrikeBrute Ratel, y cargadores personalizados para movimiento lateral
- Herramientas como Mimikatz, RClone y PSExec para el volcado de credenciales y la filtración de datos.
- Publicación de datos filtrados en su sitio de filtraciones para extorsionar
The group has exhibited ties to advanced infrastructure management, including SOCKS proxy layers, phishing infrastructure, and modular tooling. It maintained Russian-language internal communications and coordinates through Matrix channels, often collaborating with affiliates or brokers.
Black Basta se ha vinculado a ataques contra infraestructuras críticas, los sectores sanitario, jurídico y manufacturero. Se considera una de las operaciones de ransomware más activas y estructuradas de 2024.
Países objetivo de Blackbasta
Black Basta's operations spun multiple regions, with significant incidents reported in the United States, Germany, the United Kingdom, Canada, and Australia. These regions are often targeted due to their high-value industries and critical infrastructure.
Industrias objetivo de Blackbasta
Black Basta ha afectado a una amplia gama de industrias, especialmente al sector de la sanidad y la salud pública (HPH) debido a su carácter crítico y su dependencia de la tecnología. Otros sectores afectados son el financiero, el manufacturero y el de las tecnologías de la información.
Las víctimas de Blackbasta
More than 521 victims were targeted by Black Basta between April 2022 and January 2025.
El método de ataque de Blackbasta
Black Basta affiliates typically used spearphishing emails and exploit known vulnerabilities such as CVE-2024-1709. They have also been known to abuse valid credentials to gain initial access.
Tools like Mimikatz were used for credential scraping, while vulnerabilities such as ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278, CVE-2021-42287), and PrintNightmare (CVE-2021-34527) were exploited to escalate privileges.
The group employed masquerading tactics by using innocuous file names, such as Intel or Dell. They also deployed tools like Backstab to disable endpoint detection and response (EDR) systems, and use PowerShell to disable antivirus products.
Black Basta affiliates used credential scraping tools like Mimikatz and exploited known vulnerabilities to gain administrative access and escalate privileges within the network.
Network scanning tools such as SoftPerfect Network Scanner were used to map out the network and identify key systems and data stores.
The group used tools like BITSAdmin, PsExec, Remote Desktop Protocol (RDP), Splashtop, ScreenConnect, and Cobalt Strike to move laterally across networks.
Before encryption, data was collected and prepared for exfiltration. This involved compressing files or staging data in preparation for transfer.
Tools such as RClone were used to exfiltrate data to actor-controlled servers.
The ransomware encrypted files using a ChaCha20 algorithm with an RSA-4096 public key, adding a .basta or random extension to file names. Ransom notes left on compromised systems instructed victims to contact the group via a Tor site.
Black Basta affiliates typically used spearphishing emails and exploit known vulnerabilities such as CVE-2024-1709. They have also been known to abuse valid credentials to gain initial access.
Tools like Mimikatz were used for credential scraping, while vulnerabilities such as ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278, CVE-2021-42287), and PrintNightmare (CVE-2021-34527) were exploited to escalate privileges.
The group employed masquerading tactics by using innocuous file names, such as Intel or Dell. They also deployed tools like Backstab to disable endpoint detection and response (EDR) systems, and use PowerShell to disable antivirus products.
Black Basta affiliates used credential scraping tools like Mimikatz and exploited known vulnerabilities to gain administrative access and escalate privileges within the network.
Network scanning tools such as SoftPerfect Network Scanner were used to map out the network and identify key systems and data stores.
The group used tools like BITSAdmin, PsExec, Remote Desktop Protocol (RDP), Splashtop, ScreenConnect, and Cobalt Strike to move laterally across networks.
Before encryption, data was collected and prepared for exfiltration. This involved compressing files or staging data in preparation for transfer.
Tools such as RClone were used to exfiltrate data to actor-controlled servers.
The ransomware encrypted files using a ChaCha20 algorithm with an RSA-4096 public key, adding a .basta or random extension to file names. Ransom notes left on compromised systems instructed victims to contact the group via a Tor site.
TTPs utilizados por Black Basta
How to Detect Threat Actors with Vectra AI
Lista de las detecciones disponibles en la plataforma Vectra AI que indicarían un ataque de ransomware.
Preguntas frecuentes
¿Qué es el ransomware Blackbasta?
Blackbasta es un sofisticado grupo de ransomware que surgió en abril de 2022. Utilizan dobles tácticas de extorsión, cifrando los datos de las víctimas y amenazando con liberar información sensible si no se paga el rescate.
¿Cómo suele conseguir Blackbasta el acceso inicial a una red?
Blackbasta suele obtener el acceso inicial a través de correos electrónicos de phishing que contienen archivos adjuntos o enlaces maliciosos, aprovechando vulnerabilidades en aplicaciones de uso público y utilizando anuncios maliciosos o descargas no solicitadas (drive-by downloads).
¿Cuáles son los sectores más atacados por Blackbasta?
Blackbasta se dirige a una amplia gama de sectores, como sanidad, fabricación, finanzas, jurídico, educación, administración pública y tecnologías de la información.
¿Cuáles son los países más afectados por los ataques de Blackbasta?
Blackbasta se dirige principalmente a organizaciones de Estados Unidos, Canadá, Reino Unido, Alemania, Francia y Australia, aunque tiene alcance mundial.
¿Cuáles son algunas de las tácticas, técnicas y procedimientos (TTP) conocidos utilizados por Blackbasta?
Blackbasta emplea varias TTP, como phishing (T1566), intérprete de comandos y scripts (T1059), volcado de credenciales (T1003), desactivación de herramientas de seguridad (T1562) y cifrado de datos por impacto (T1486).
¿Cómo escala Blackbasta privilegios dentro de una red comprometida?
Blackbasta escala privilegios explotando vulnerabilidades de software no parcheadas y utilizando herramientas como Mimikatz para extraer credenciales de la memoria.
¿Qué métodos utiliza Blackbasta para eludir la detección?
Blackbasta utiliza técnicas de ofuscación, desactiva las herramientas de seguridad, emplea tácticas de "vivir de la tierra" (LotL) y utiliza software y herramientas legítimas para eludir la detección.
¿Cómo se desplaza lateralmente Blackbasta dentro de una red?
Blackbasta utiliza Remote Desktop Protocol (RDP), Windows Management Instrumentation (WMI) y servicios remotos para desplazarse lateralmente dentro de una red.
¿Cuáles son las fases típicas de un ataque de ransomware Blackbasta?
Las etapas incluyen acceso inicial, escalada de privilegios, evasión de defensas, acceso a credenciales, descubrimiento, movimiento lateral, recolección, ejecución, exfiltración e impacto.
¿Qué medidas preventivas pueden adoptar las organizaciones para protegerse contra el ransomware Blackbasta?
Las organizaciones pueden protegerse contra Blackbasta aplicando un sólido filtrado del correo electrónico, parcheando las vulnerabilidades con prontitud, utilizando autenticación multifactor, impartiendo formación periódica sobre seguridad a los empleados, vigilando la actividad inusual, manteniendo copias de seguridad actualizadas y desplegando sistemas de detección y respuesta ampliadas (XDR) para identificar y responder rápidamente a las amenazas.