Black Basta
Black Bastaponen de manifiesto su capacidad de adaptación y su voluntad de explotar tanto las vulnerabilidades técnicas como los factores humanos para lograr sus objetivos. Comprender estas tácticas puede ayudar a las organizaciones a reforzar sus defensas frente a amenazas tan sofisticadas.
El origen de Black Basta
Black Basta era un grupo de ransomware con motivaciones financieras activo desde principios de 2022 hasta enero de 2025, conocido por operaciones de doble extorsión de alto impacto dirigidas a organizaciones de Norteamérica, Europa y Asia. El grupo compromete las redes corporativas para desplegar cargas útiles de ransomware, extrae datos confidenciales y presiona a las víctimas para que paguen rescates multimillonarios bajo amenaza de filtraciones públicas.
Black Basta suele aprovechar:
- Acceso inicial a través de credenciales robadas, malspam o exposición a escritorios remotos.
- Cobalt StrikeBrute Ratel, y cargadores personalizados para movimiento lateral
- Herramientas como Mimikatz, RClone y PSExec para el volcado de credenciales y la filtración de datos.
- Publicación de datos filtrados en su sitio de filtraciones para extorsionar
El grupo ha mostrado vínculos con la gestión avanzada de infraestructuras, incluidas capas proxy SOCKS, infraestructura de phishing y herramientas modulares. Mantiene comunicaciones internas en ruso y se coordina a través de los canales de Matrix, colaborando a menudo con afiliados o intermediarios.
Black Basta se ha vinculado a ataques contra infraestructuras críticas, los sectores sanitario, jurídico y manufacturero. Se considera una de las operaciones de ransomware más activas y estructuradas de 2024.
Países objetivo de Blackbasta
Black BastaLas operaciones de la empresa abarcan múltiples regiones, con incidentes significativos en Estados Unidos, Alemania, Reino Unido, Canadá y Australia. Estas regiones suelen ser objetivo de ataques debido a sus industrias de alto valor y a sus infraestructuras críticas.
Industrias objetivo de Blackbasta
Black Basta ha afectado a una amplia gama de industrias, especialmente al sector de la sanidad y la salud pública (HPH) debido a su carácter crítico y su dependencia de la tecnología. Otros sectores afectados son el financiero, el manufacturero y el de las tecnologías de la información.
Las víctimas de Blackbasta
Aunque es posible que los nombres concretos de las víctimas recientes no siempre estén a disposición del público por motivos de privacidad y seguridad, contamos con más de 439 víctimas, entre las que se encuentran importantes empresas e instituciones de los sectores mencionados. Según informes recientes, se han producido ataques contra sistemas sanitarios, grandes empresas manufactureras e instituciones financieras.
El método de ataque de Blackbasta
Black Basta Los afiliados suelen utilizar correos electrónicos de spearphishing y aprovechan vulnerabilidades conocidas como CVE-2024-1709. También se sabe que abusan de credenciales válidas para obtener el acceso inicial. malware.
Herramientas como Mimikatz se utilizan para el robo de credenciales, mientras que vulnerabilidades como ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278, CVE-2021-42287) y PrintNightmare (CVE-2021-34527) se aprovechan para escalar privilegios.
El grupo emplea tácticas de enmascaramiento utilizando nombres de archivo inocuos, como Intel o Dell. También despliegan herramientas comoBackstab para desactivar los sistemas de detección y respuesta de puntos finales (EDR), y utilizan PowerShell para desactivar los productos antivirus.
Black Basta Los afiliados utilizan herramientas de raspado de credenciales como Mimikatz y aprovechan vulnerabilidades conocidas para obtener acceso administrativo y escalar privilegios dentro de la red.
Las herramientas de exploración de redes, como SoftPerfect Network Scanner, se utilizan para trazar el mapa de la red e identificar los sistemas y almacenes de datos clave.
El grupo utiliza herramientas como BITSAdmin, PsExec, Remote Desktop Protocol (RDP), Splashtop, ScreenConnect y Cobalt Strike para desplazarse lateralmente por las redes.
Antes de la encriptación, los datos se recopilan y preparan para la exfiltración. Esto puede implicar la compresión de archivos o la preparación de los datos para su transferencia.
Antes de la encriptación, los datos se recopilan y preparan para la exfiltración. Esto puede implicar la compresión de archivos o la preparación de los datos para su transferencia.
Herramientas como RClone se utilizan para filtrar datos a servidores controlados por los actores. Estos datos suelen utilizarse para presionar a las víctimas para que paguen el rescate.
El ransomware cifra los archivos utilizando un algoritmo ChaCha20 con una clave pública RSA-4096, añadiendo una extensión .basta o aleatoria a los nombres de archivo. Las notas de rescate dejadas en los sistemas comprometidos indican a las víctimas que se pongan en contacto con el grupo a través de un sitio Tor.
Black Basta Los afiliados suelen utilizar correos electrónicos de spearphishing y aprovechan vulnerabilidades conocidas como CVE-2024-1709. También se sabe que abusan de credenciales válidas para obtener el acceso inicial. malware.
Herramientas como Mimikatz se utilizan para el robo de credenciales, mientras que vulnerabilidades como ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278, CVE-2021-42287) y PrintNightmare (CVE-2021-34527) se aprovechan para escalar privilegios.
El grupo emplea tácticas de enmascaramiento utilizando nombres de archivo inocuos, como Intel o Dell. También despliegan herramientas comoBackstab para desactivar los sistemas de detección y respuesta de puntos finales (EDR), y utilizan PowerShell para desactivar los productos antivirus.
Black Basta Los afiliados utilizan herramientas de raspado de credenciales como Mimikatz y aprovechan vulnerabilidades conocidas para obtener acceso administrativo y escalar privilegios dentro de la red.
Las herramientas de exploración de redes, como SoftPerfect Network Scanner, se utilizan para trazar el mapa de la red e identificar los sistemas y almacenes de datos clave.
El grupo utiliza herramientas como BITSAdmin, PsExec, Remote Desktop Protocol (RDP), Splashtop, ScreenConnect y Cobalt Strike para desplazarse lateralmente por las redes.
Antes de la encriptación, los datos se recopilan y preparan para la exfiltración. Esto puede implicar la compresión de archivos o la preparación de los datos para su transferencia.
Antes de la encriptación, los datos se recopilan y preparan para la exfiltración. Esto puede implicar la compresión de archivos o la preparación de los datos para su transferencia.
Herramientas como RClone se utilizan para filtrar datos a servidores controlados por los actores. Estos datos suelen utilizarse para presionar a las víctimas para que paguen el rescate.
El ransomware cifra los archivos utilizando un algoritmo ChaCha20 con una clave pública RSA-4096, añadiendo una extensión .basta o aleatoria a los nombres de archivo. Las notas de rescate dejadas en los sistemas comprometidos indican a las víctimas que se pongan en contacto con el grupo a través de un sitio Tor.
TTPs utilizados por Black Basta
Cómo detectar Black Basta con Vectra AI
Lista de las detecciones disponibles en la plataforma Vectra AI que indicarían un ataque de ransomware.
Preguntas frecuentes
¿Qué es el ransomware Blackbasta?
Blackbasta es un sofisticado grupo de ransomware que surgió en abril de 2022. Utilizan dobles tácticas de extorsión, cifrando los datos de las víctimas y amenazando con liberar información sensible si no se paga el rescate.
¿Cómo suele conseguir Blackbasta el acceso inicial a una red?
Blackbasta suele obtener el acceso inicial a través de correos electrónicos de phishing que contienen archivos adjuntos o enlaces maliciosos, aprovechando vulnerabilidades en aplicaciones de uso público y utilizando anuncios maliciosos o descargas no solicitadas (drive-by downloads).
¿Cuáles son los sectores más atacados por Blackbasta?
Blackbasta se dirige a una amplia gama de sectores, como sanidad, fabricación, finanzas, jurídico, educación, administración pública y tecnologías de la información.
¿Cuáles son los países más afectados por los ataques de Blackbasta?
Blackbasta se dirige principalmente a organizaciones de Estados Unidos, Canadá, Reino Unido, Alemania, Francia y Australia, aunque tiene alcance mundial.
¿Cuáles son algunas de las tácticas, técnicas y procedimientos (TTP) conocidos utilizados por Blackbasta?
Blackbasta emplea varias TTP, como phishing (T1566), intérprete de comandos y scripts (T1059), volcado de credenciales (T1003), desactivación de herramientas de seguridad (T1562) y cifrado de datos por impacto (T1486).
¿Cómo escala Blackbasta privilegios dentro de una red comprometida?
Blackbasta escala privilegios explotando vulnerabilidades de software no parcheadas y utilizando herramientas como Mimikatz para extraer credenciales de la memoria.
¿Qué métodos utiliza Blackbasta para eludir la detección?
Blackbasta utiliza técnicas de ofuscación, desactiva las herramientas de seguridad, emplea tácticas de "vivir de la tierra" (LotL) y utiliza software y herramientas legítimas para eludir la detección.
¿Cómo se desplaza lateralmente Blackbasta dentro de una red?
Blackbasta utiliza Remote Desktop Protocol (RDP), Windows Management Instrumentation (WMI) y servicios remotos para desplazarse lateralmente dentro de una red.
¿Cuáles son las fases típicas de un ataque de ransomware Blackbasta?
Las etapas incluyen acceso inicial, escalada de privilegios, evasión de defensas, acceso a credenciales, descubrimiento, movimiento lateral, recolección, ejecución, exfiltración e impacto.
¿Qué medidas preventivas pueden adoptar las organizaciones para protegerse contra el ransomware Blackbasta?
Las organizaciones pueden protegerse contra Blackbasta aplicando un sólido filtrado del correo electrónico, parcheando las vulnerabilidades con prontitud, utilizando autenticación multifactor, impartiendo formación periódica sobre seguridad a los empleados, vigilando la actividad inusual, manteniendo copias de seguridad actualizadas y desplegando sistemas de detección y respuesta ampliadas (XDR) para identificar y responder rápidamente a las amenazas.