¿Está su organización a salvo de los ataques de Basta Negro?

El origen de Basta Negro

Black Basta es una variante de ransomware como servicio (RaaS) identificada por primera vez en abril de 2022. El grupo opera cifrando y filtrando datos de sus víctimas, y ha estado activo en Norteamérica, Europa y Australia. En mayo de 2024, los afiliados de Black Basta habían afectado a más de 500 organizaciones en todo el mundo, incluyendo al menos 12 de los 16 sectores de infraestructuras críticas, con un enfoque significativo en el sector sanitario y de salud pública (HPH).

Algunos investigadores especulan con que Basta Negro podría estar relacionado con otros grupos delictivos como FIN7 y Conti, basándose en las similitudes en tácticas, técnicas y procedimientos (TTP).

^{Fuente: OCD}

Objetivos

Objetivos de Blackbasta

Países objetivo de Blackbasta

Las operaciones de Black Basta abarcan múltiples regiones, con incidentes significativos en Estados Unidos, Alemania, Reino Unido, Canadá y Australia. Estas regiones suelen ser objetivo de ataques debido a sus industrias de alto valor e infraestructuras críticas.

^{Fuente del gráfico: Incibe}

Industrias objetivo de Blackbasta

Basta Negro se ha cebado con una amplia gama de industrias, en particular el sector de la sanidad y la salud pública (HPH) debido a su carácter crítico y su dependencia de la tecnología. Otros sectores afectados son el financiero, el manufacturero y el de las tecnologías de la información.

^{Fuente del gráfico: SocRadar}

Industrias objetivo de Blackbasta

Basta Negro se ha cebado con una amplia gama de industrias, en particular el sector de la sanidad y la salud pública (HPH) debido a su carácter crítico y su dependencia de la tecnología. Otros sectores afectados son el financiero, el manufacturero y el de las tecnologías de la información.

^{Fuente del gráfico: SocRadar}

Las víctimas de Blackbasta

Aunque es posible que los nombres concretos de las víctimas recientes no siempre estén a disposición del público por motivos de privacidad y seguridad, contamos con más de 439 víctimas, entre las que se encuentran importantes empresas e instituciones de los sectores mencionados. Según informes recientes, se han producido ataques contra sistemas sanitarios, grandes empresas manufactureras e instituciones financieras.

Fuente: ransomware.live

Método de ataque

El método de ataque de Blackbasta

Una figura sombría tiende una amplia red sobre un paisaje digital repleto de diversos dispositivos, como ordenadores, teléfonos inteligentes y tabletas. La red simboliza los intentos del atacante de encontrar vulnerabilidades o utilizar técnicas de phishing para obtener acceso no autorizado.

Los afiliados de Black Basta suelen utilizar correos electrónicos de spearphishing y aprovechan vulnerabilidades conocidas como CVE-2024-1709. También se sabe que abusan de credenciales válidas para obtener acceso inicial. malware.

Una escalera digital que se extiende hacia arriba desde un icono de usuario básico hacia una corona que simboliza privilegios administrativos. Esto representa los esfuerzos del atacante para obtener acceso de nivel superior dentro del sistema.

Herramientas como Mimikatz se utilizan para el robo de credenciales, mientras que vulnerabilidades como ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278, CVE-2021-42287) y PrintNightmare (CVE-2021-34527) se aprovechan para escalar privilegios.

Un camaleón que se funde con un fondo digital, con ceros y unos fluyendo a su alrededor. Representa la capacidad del atacante para evitar ser detectado por las medidas de seguridad, cambiando de táctica para mezclarse con el tráfico normal de la red.

El grupo emplea tácticas de enmascaramiento utilizando nombres de archivo inocuos, como Intel o Dell. También despliegan herramientas comoBackstab para desactivar los sistemas de detección y respuesta de puntos finales (EDR), y utilizan PowerShell para desactivar los productos antivirus.

Un ladrón con una ganzúa trabajando en un ojo de cerradura gigante con forma de formulario de inicio de sesión, que representa los esfuerzos del atacante por robar credenciales de usuario para obtener acceso no autorizado.

Los afiliados de Black Basta utilizan herramientas de raspado de credenciales como Mimikatz y explotan vulnerabilidades conocidas para obtener acceso administrativo y escalar privilegios dentro de la red.

Una lupa moviéndose sobre un mapa digital de una red, resaltando archivos, carpetas y conexiones de red. Esta imagen representa la fase en la que los atacantes exploran el entorno para comprender la estructura y dónde residen los datos valiosos.

Las herramientas de exploración de redes, como SoftPerfect Network Scanner, se utilizan para trazar el mapa de la red e identificar los sistemas y almacenes de datos clave.

Una serie de nodos interconectados con una figura sombría moviéndose sigilosamente entre ellos. Esto ilustra los movimientos del atacante dentro de la red, buscando obtener el control de sistemas adicionales o propagarse malware.

El grupo utiliza herramientas como BITSAdmin, PsExec, Remote Desktop Protocol (RDP), Splashtop, ScreenConnect y Cobalt Strike para desplazarse lateralmente por las redes.

Una gran aspiradora aspira archivos, iconos de datos y carpetas en una bolsa sostenida por una figura sombría. Esta imagen simboliza el proceso de recopilación de datos valiosos de la red objetivo.

Antes de la encriptación, los datos se recopilan y preparan para la exfiltración. Esto puede implicar la compresión de archivos o la preparación de los datos para su transferencia.

Una ventana de símbolo del sistema abierta delante de un fondo digital, con código malicioso siendo tecleado. Esto representa la fase en la que los atacantes ejecutan su carga maliciosa en el sistema comprometido.

Antes de la encriptación, los datos se recopilan y preparan para la exfiltración. Esto puede implicar la compresión de archivos o la preparación de los datos para su transferencia.

Una serie de archivos que se canalizan a través de un canal encubierto desde un ordenador a una dirección cloud etiquetada con una calavera, que simboliza la transferencia no autorizada de datos a un lugar controlado por el atacante.

Herramientas como RClone se utilizan para filtrar datos a servidores controlados por los actores. Estos datos suelen utilizarse para presionar a las víctimas para que paguen el rescate.

Una pantalla agrietada con un paisaje urbano digital en caos detrás, que simboliza el impacto destructivo del ciberataque, como la interrupción del servicio, la destrucción de datos o las pérdidas financieras.

El ransomware cifra los archivos utilizando un algoritmo ChaCha20 con una clave pública RSA-4096, añadiendo una extensión .basta o aleatoria a los nombres de archivo. Las notas de rescate dejadas en los sistemas comprometidos indican a las víctimas que se pongan en contacto con el grupo a través de un sitio Tor.

Acceso inicial

Los afiliados de Black Basta suelen utilizar correos electrónicos de spearphishing y aprovechan vulnerabilidades conocidas como CVE-2024-1709. También se sabe que abusan de credenciales válidas para obtener acceso inicial. malware.

Escalada de privilegios

Herramientas como Mimikatz se utilizan para el robo de credenciales, mientras que vulnerabilidades como ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278, CVE-2021-42287) y PrintNightmare (CVE-2021-34527) se aprovechan para escalar privilegios.

Defensa Evasión

El grupo emplea tácticas de enmascaramiento utilizando nombres de archivo inocuos, como Intel o Dell. También despliegan herramientas comoBackstab para desactivar los sistemas de detección y respuesta de puntos finales (EDR), y utilizan PowerShell para desactivar los productos antivirus.

Acceso con credenciales

Los afiliados de Black Basta utilizan herramientas de raspado de credenciales como Mimikatz y explotan vulnerabilidades conocidas para obtener acceso administrativo y escalar privilegios dentro de la red.

Descubrimiento

Las herramientas de exploración de redes, como SoftPerfect Network Scanner, se utilizan para trazar el mapa de la red e identificar los sistemas y almacenes de datos clave.

Movimiento lateral

El grupo utiliza herramientas como BITSAdmin, PsExec, Remote Desktop Protocol (RDP), Splashtop, ScreenConnect y Cobalt Strike para desplazarse lateralmente por las redes.

Colección

Antes de la encriptación, los datos se recopilan y preparan para la exfiltración. Esto puede implicar la compresión de archivos o la preparación de los datos para su transferencia.

Ejecución

Antes de la encriptación, los datos se recopilan y preparan para la exfiltración. Esto puede implicar la compresión de archivos o la preparación de los datos para su transferencia.

Exfiltración

Herramientas como RClone se utilizan para filtrar datos a servidores controlados por los actores. Estos datos suelen utilizarse para presionar a las víctimas para que paguen el rescate.

Impacto

El ransomware cifra los archivos utilizando un algoritmo ChaCha20 con una clave pública RSA-4096, añadiendo una extensión .basta o aleatoria a los nombres de archivo. Las notas de rescate dejadas en los sistemas comprometidos indican a las víctimas que se pongan en contacto con el grupo a través de un sitio Tor.

MITRE ATT&CK Cartografía

TTPs utilizados por Black Basta

Black Basta emplea varias TTP alineadas con el marco MITRE ATT&CK . Algunas de las principales TTP son:

TA0001: Initial Access

T1566

Phishing

T1190

Exploit Public-Facing Application

T1078

Valid Accounts

TA0002: Execution

T1059

Command and Scripting Interpreter

TA0003: Persistence

T1543

Create or Modify System Process

T1547

Boot or Logon Autostart Execution

T1078

Valid Accounts

T1053

Scheduled Task/Job

TA0004: Privilege Escalation

T1543

Create or Modify System Process

T1068

Exploitation for Privilege Escalation

T1547

Boot or Logon Autostart Execution

T1078

Valid Accounts

T1053

Scheduled Task/Job

TA0005: Defense Evasion

T1027

Obfuscated Files or Information

T1562

Impair Defenses

T1078

Valid Accounts

TA0006: Credential Access

T1110

Brute Force

T1056

Input Capture

T1003

OS Credential Dumping

TA0007: Discovery

T1082

System Information Discovery

TA0008: Lateral Movement

T1077

Remote Services: SMB/Windows Admin Shares

TA0009: Collection

T1005

Data from Local System

TA0011: Command and Control

No items found.

TA0010: Exfiltration

T1041

Exfiltration Over C2 Channel

T1020

Automated Exfiltration

TA0040: Impact

T1485

Data Destruction

T1486

Data Encrypted for Impact

Detección de plataformas

Cómo detectar Basta Negro con Vectra AI

Lista de las detecciones disponibles en la plataforma Vectra AI que indicarían un ataque de ransomware.

AWS Ransomware S3 Activity

Brute-Force

M365 Internal Spearphishing

M365 Ransomware

RDP Recon

RPC Targeted Recon

Ver más detecciones

Evalúe su exposición a los ataques

Preguntas frecuentes

¿Qué es el ransomware Blackbasta?

Blackbasta es un sofisticado grupo de ransomware que surgió en abril de 2022. Utilizan dobles tácticas de extorsión, cifrando los datos de las víctimas y amenazando con liberar información sensible si no se paga el rescate.

¿Cómo suele conseguir Blackbasta el acceso inicial a una red?

Blackbasta suele obtener el acceso inicial a través de correos electrónicos de phishing que contienen archivos adjuntos o enlaces maliciosos, aprovechando vulnerabilidades en aplicaciones de uso público y utilizando anuncios maliciosos o descargas no solicitadas (drive-by downloads).

¿Cuáles son los sectores más atacados por Blackbasta?

Blackbasta se dirige a una amplia gama de sectores, como sanidad, fabricación, finanzas, jurídico, educación, administración pública y tecnologías de la información.

¿Cuáles son los países más afectados por los ataques de Blackbasta?

Blackbasta se dirige principalmente a organizaciones de Estados Unidos, Canadá, Reino Unido, Alemania, Francia y Australia, aunque tiene alcance mundial.

¿Cuáles son algunas de las tácticas, técnicas y procedimientos (TTP) conocidos utilizados por Blackbasta?

Blackbasta emplea varias TTP, como phishing (T1566), intérprete de comandos y scripts (T1059), volcado de credenciales (T1003), desactivación de herramientas de seguridad (T1562) y cifrado de datos por impacto (T1486).

¿Cómo escala Blackbasta privilegios dentro de una red comprometida?

Blackbasta escala privilegios explotando vulnerabilidades de software no parcheadas y utilizando herramientas como Mimikatz para extraer credenciales de la memoria.

¿Qué métodos utiliza Blackbasta para eludir la detección?

Blackbasta utiliza técnicas de ofuscación, desactiva las herramientas de seguridad, emplea tácticas de "vivir de la tierra" (LotL) y utiliza software y herramientas legítimas para eludir la detección.

¿Cómo se desplaza lateralmente Blackbasta dentro de una red?

Blackbasta utiliza Remote Desktop Protocol (RDP), Windows Management Instrumentation (WMI) y servicios remotos para desplazarse lateralmente dentro de una red.

¿Cuáles son las fases típicas de un ataque de ransomware Blackbasta?

Las etapas incluyen acceso inicial, escalada de privilegios, evasión de defensas, acceso a credenciales, descubrimiento, movimiento lateral, recolección, ejecución, exfiltración e impacto.

¿Qué medidas preventivas pueden adoptar las organizaciones para protegerse contra el ransomware Blackbasta?

Las organizaciones pueden protegerse contra Blackbasta aplicando un sólido filtrado del correo electrónico, parcheando las vulnerabilidades con prontitud, utilizando autenticación multifactor, impartiendo formación periódica sobre seguridad a los empleados, vigilando la actividad inusual, manteniendo copias de seguridad actualizadas y desplegando sistemas de detección y respuesta ampliadas (XDR) para identificar y responder rápidamente a las amenazas.