Black Basta
Los métodos operativos Black Bastapusieron de relieve su capacidad de adaptación y su disposición a explotar tanto las vulnerabilidades técnicas como los factores humanos para alcanzar sus objetivos. Comprender estas tácticas puede ayudar a las organizaciones a reforzar sus defensas contra amenazas tan sofisticadas.
El origen de Black Basta
Black Basta fue un grupo de ransomware con motivaciones económicas que estuvo activo desde principios de 2022 hasta enero de 2025, conocido por sus operaciones de doble extorsión de gran impacto dirigidas a organizaciones de América del Norte, Europa y Asia. El grupo comprometía redes corporativas para desplegar cargas útiles de ransomware, extraía datos confidenciales y presionaba a las víctimas para que pagaran rescates multimillonarios bajo amenaza de divulgación pública.
Black Basta aprovechaba:
- Acceso inicial a través de credenciales robadas, malspam o exposición a escritorios remotos.
- Cobalt StrikeBrute Ratel, y cargadores personalizados para movimiento lateral
- Herramientas como Mimikatz, RClone y PSExec para el volcado de credenciales y la filtración de datos.
- Publicación de datos filtrados en su sitio de filtraciones para extorsionar
El grupo ha mostrado vínculos con la gestión avanzada de infraestructuras, incluyendo capas proxy SOCKS, phishing y herramientas modulares. Mantenía comunicaciones internas en ruso y se coordinaba a través de canales Matrix, colaborando a menudo con afiliados o intermediarios.
Black Basta se ha vinculado a ataques contra infraestructuras críticas, los sectores sanitario, jurídico y manufacturero. Se considera una de las operaciones de ransomware más activas y estructuradas de 2024.
Países objetivo de Blackbasta
Las operaciones Black Basta se extendieron por múltiples regiones, con incidentes significativos reportados en Estados Unidos, Alemania, Reino Unido, Canadá y Australia. Estas regiones suelen ser blanco de ataques debido a sus industrias de alto valor y su infraestructura crítica.
Industrias objetivo de Blackbasta
Black Basta ha afectado a una amplia gama de industrias, especialmente al sector de la sanidad y la salud pública (HPH) debido a su carácter crítico y su dependencia de la tecnología. Otros sectores afectados son el financiero, el manufacturero y el de las tecnologías de la información.
Las víctimas de Blackbasta
Más de 521 víctimas fueron atacadas por Black Basta abril de 2022 y enero de 2025.
El método de ataque de Blackbasta
Black Basta suelen utilizar correos electrónicos de spearphishing y explotar vulnerabilidades conocidas, como CVE-2024-1709. También se sabe que abusan de credenciales válidas para obtener acceso inicial.
Se utilizaron herramientas como Mimikatz para recopilar credenciales, mientras que se aprovecharon vulnerabilidades como ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278, CVE-2021-42287) y PrintNightmare (CVE-2021-34527) para escalar privilegios.
El grupo empleó tácticas de encubrimiento utilizando nombres de archivos inocuos, como Intel o Dell. También desplegaron herramientas como Backstab para desactivar los sistemas de detección y respuesta en los puntos finales (EDR) y utilizaron PowerShell para desactivar los productos antivirus.
Black Basta utilizaron herramientas de extracción de credenciales como Mimikatz y aprovecharon vulnerabilidades conocidas para obtener acceso administrativo y escalar privilegios dentro de la red.
Se utilizaron herramientas de análisis de redes, como SoftPerfect Network Scanner, para trazar un mapa de la red e identificar los sistemas y almacenes de datos clave.
El grupo utilizó herramientas como BITSAdmin, PsExec, Protocolo de escritorio remoto (RDP), Splashtop, ScreenConnect y Cobalt Strike moverse lateralmente a través de las redes.
Antes del cifrado, se recopilaron y prepararon los datos para su exfiltración. Esto implicó comprimir archivos o preparar los datos para su transferencia.
Se utilizaron herramientas como RClone para filtrar datos a servidores controlados por los actores.
El ransomware cifró los archivos utilizando un algoritmo ChaCha20 con una clave pública RSA-4096, añadiendo la extensión .basta o una extensión aleatoria a los nombres de los archivos. Las notas de rescate dejadas en los sistemas comprometidos indicaban a las víctimas que se pusieran en contacto con el grupo a través de un sitio Tor.
Black Basta suelen utilizar correos electrónicos de spearphishing y explotar vulnerabilidades conocidas, como CVE-2024-1709. También se sabe que abusan de credenciales válidas para obtener acceso inicial.
Se utilizaron herramientas como Mimikatz para recopilar credenciales, mientras que se aprovecharon vulnerabilidades como ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278, CVE-2021-42287) y PrintNightmare (CVE-2021-34527) para escalar privilegios.
El grupo empleó tácticas de encubrimiento utilizando nombres de archivos inocuos, como Intel o Dell. También desplegaron herramientas como Backstab para desactivar los sistemas de detección y respuesta en los puntos finales (EDR) y utilizaron PowerShell para desactivar los productos antivirus.
Black Basta utilizaron herramientas de extracción de credenciales como Mimikatz y aprovecharon vulnerabilidades conocidas para obtener acceso administrativo y escalar privilegios dentro de la red.
Se utilizaron herramientas de análisis de redes, como SoftPerfect Network Scanner, para trazar un mapa de la red e identificar los sistemas y almacenes de datos clave.
El grupo utilizó herramientas como BITSAdmin, PsExec, Protocolo de escritorio remoto (RDP), Splashtop, ScreenConnect y Cobalt Strike moverse lateralmente a través de las redes.
Antes del cifrado, se recopilaron y prepararon los datos para su exfiltración. Esto implicó comprimir archivos o preparar los datos para su transferencia.
Se utilizaron herramientas como RClone para filtrar datos a servidores controlados por los actores.
El ransomware cifró los archivos utilizando un algoritmo ChaCha20 con una clave pública RSA-4096, añadiendo la extensión .basta o una extensión aleatoria a los nombres de los archivos. Las notas de rescate dejadas en los sistemas comprometidos indicaban a las víctimas que se pusieran en contacto con el grupo a través de un sitio Tor.
TTPs utilizados por Black Basta
Cómo detectar actores maliciosos con Vectra AI
Lista de las detecciones disponibles en la plataforma Vectra AI que indicarían un ataque de ransomware.
Preguntas frecuentes
¿Qué es el ransomware Blackbasta?
Blackbasta es un sofisticado grupo de ransomware que surgió en abril de 2022. Utilizan dobles tácticas de extorsión, cifrando los datos de las víctimas y amenazando con liberar información sensible si no se paga el rescate.
¿Cómo suele conseguir Blackbasta el acceso inicial a una red?
Blackbasta suele obtener el acceso inicial a través de correos electrónicos de phishing que contienen archivos adjuntos o enlaces maliciosos, aprovechando vulnerabilidades en aplicaciones de uso público y utilizando anuncios maliciosos o descargas no solicitadas (drive-by downloads).
¿Cuáles son los sectores más atacados por Blackbasta?
Blackbasta se dirige a una amplia gama de sectores, como sanidad, fabricación, finanzas, jurídico, educación, administración pública y tecnologías de la información.
¿Cuáles son los países más afectados por los ataques de Blackbasta?
Blackbasta se dirige principalmente a organizaciones de Estados Unidos, Canadá, Reino Unido, Alemania, Francia y Australia, aunque tiene alcance mundial.
¿Cuáles son algunas de las tácticas, técnicas y procedimientos (TTP) conocidos utilizados por Blackbasta?
Blackbasta emplea varias TTP, como phishing (T1566), intérprete de comandos y scripts (T1059), volcado de credenciales (T1003), desactivación de herramientas de seguridad (T1562) y cifrado de datos por impacto (T1486).
¿Cómo escala Blackbasta privilegios dentro de una red comprometida?
Blackbasta escala privilegios explotando vulnerabilidades de software no parcheadas y utilizando herramientas como Mimikatz para extraer credenciales de la memoria.
¿Qué métodos utiliza Blackbasta para eludir la detección?
Blackbasta utiliza técnicas de ofuscación, desactiva las herramientas de seguridad, emplea tácticas de "vivir de la tierra" (LotL) y utiliza software y herramientas legítimas para eludir la detección.
¿Cómo se desplaza lateralmente Blackbasta dentro de una red?
Blackbasta utiliza Remote Desktop Protocol (RDP), Windows Management Instrumentation (WMI) y servicios remotos para desplazarse lateralmente dentro de una red.
¿Cuáles son las fases típicas de un ataque de ransomware Blackbasta?
Las etapas incluyen acceso inicial, escalada de privilegios, evasión de defensas, acceso a credenciales, descubrimiento, movimiento lateral, recolección, ejecución, exfiltración e impacto.
¿Qué medidas preventivas pueden adoptar las organizaciones para protegerse contra el ransomware Blackbasta?
Las organizaciones pueden protegerse contra Blackbasta aplicando un sólido filtrado del correo electrónico, parcheando las vulnerabilidades con prontitud, utilizando autenticación multifactor, impartiendo formación periódica sobre seguridad a los empleados, vigilando la actividad inusual, manteniendo copias de seguridad actualizadas y desplegando sistemas de detección y respuesta ampliadas (XDR) para identificar y responder rápidamente a las amenazas.