Black Basta
Black Bastaponen de manifiesto su capacidad de adaptación y su voluntad de explotar tanto las vulnerabilidades técnicas como los factores humanos para lograr sus objetivos. Comprender estas tácticas puede ayudar a las organizaciones a reforzar sus defensas frente a amenazas tan sofisticadas.
El origen de Black Basta
Black Basta es una variante de ransomware como servicio (RaaS) identificada por primera vez en abril de 2022. El grupo opera cifrando y filtrando datos de sus víctimas, y ha estado activo en Norteamérica, Europa y Australia. En mayo de 2024, las filiales de Black Basta habían afectado a más de 500 organizaciones en todo el mundo, incluidas al menos 12 de 16 sectores de infraestructuras críticas, con especial atención al sector sanitario y de salud pública (HPH).
Algunos investigadores especulan con que Black Basta podría estar relacionado con otros grupos delictivos como FIN7 y Conti, basándose en similitudes en tácticas, técnicas y procedimientos (TTP).
Fuente: OCD
Objetivos
Objetivos de Blackbasta
Países objetivo de Blackbasta
Black BastaLas operaciones de la empresa abarcan múltiples regiones, con incidentes significativos en Estados Unidos, Alemania, Reino Unido, Canadá y Australia. Estas regiones suelen ser objetivo de ataques debido a sus industrias de alto valor y a sus infraestructuras críticas.
Industrias objetivo de Blackbasta
Black Basta ha afectado a una amplia gama de industrias, especialmente al sector de la sanidad y la salud pública (HPH) debido a su carácter crítico y su dependencia de la tecnología. Otros sectores afectados son el financiero, el manufacturero y el de las tecnologías de la información.
Industrias objetivo de Blackbasta
Black Basta ha afectado a una amplia gama de industrias, especialmente al sector de la sanidad y la salud pública (HPH) debido a su carácter crítico y su dependencia de la tecnología. Otros sectores afectados son el financiero, el manufacturero y el de las tecnologías de la información.
Las víctimas de Blackbasta
Aunque es posible que los nombres concretos de las víctimas recientes no siempre estén a disposición del público por motivos de privacidad y seguridad, contamos con más de 439 víctimas, entre las que se encuentran importantes empresas e instituciones de los sectores mencionados. Según informes recientes, se han producido ataques contra sistemas sanitarios, grandes empresas manufactureras e instituciones financieras.
Método de ataque
El método de ataque de Blackbasta
Black Basta Los afiliados suelen utilizar correos electrónicos de spearphishing y aprovechan vulnerabilidades conocidas como CVE-2024-1709. También se sabe que abusan de credenciales válidas para obtener el acceso inicial. malware.
Herramientas como Mimikatz se utilizan para el robo de credenciales, mientras que vulnerabilidades como ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278, CVE-2021-42287) y PrintNightmare (CVE-2021-34527) se aprovechan para escalar privilegios.
El grupo emplea tácticas de enmascaramiento utilizando nombres de archivo inocuos, como Intel o Dell. También despliegan herramientas comoBackstab para desactivar los sistemas de detección y respuesta de puntos finales (EDR), y utilizan PowerShell para desactivar los productos antivirus.
Black Basta Los afiliados utilizan herramientas de raspado de credenciales como Mimikatz y aprovechan vulnerabilidades conocidas para obtener acceso administrativo y escalar privilegios dentro de la red.
Las herramientas de exploración de redes, como SoftPerfect Network Scanner, se utilizan para trazar el mapa de la red e identificar los sistemas y almacenes de datos clave.
El grupo utiliza herramientas como BITSAdmin, PsExec, Remote Desktop Protocol (RDP), Splashtop, ScreenConnect y Cobalt Strike para desplazarse lateralmente por las redes.
Antes de la encriptación, los datos se recopilan y preparan para la exfiltración. Esto puede implicar la compresión de archivos o la preparación de los datos para su transferencia.
Antes de la encriptación, los datos se recopilan y preparan para la exfiltración. Esto puede implicar la compresión de archivos o la preparación de los datos para su transferencia.
Herramientas como RClone se utilizan para filtrar datos a servidores controlados por los actores. Estos datos suelen utilizarse para presionar a las víctimas para que paguen el rescate.
El ransomware cifra los archivos utilizando un algoritmo ChaCha20 con una clave pública RSA-4096, añadiendo una extensión .basta o aleatoria a los nombres de archivo. Las notas de rescate dejadas en los sistemas comprometidos indican a las víctimas que se pongan en contacto con el grupo a través de un sitio Tor.
Acceso inicial
Black Basta Los afiliados suelen utilizar correos electrónicos de spearphishing y aprovechan vulnerabilidades conocidas como CVE-2024-1709. También se sabe que abusan de credenciales válidas para obtener el acceso inicial. malware.
Escalada de privilegios
Herramientas como Mimikatz se utilizan para el robo de credenciales, mientras que vulnerabilidades como ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278, CVE-2021-42287) y PrintNightmare (CVE-2021-34527) se aprovechan para escalar privilegios.
Defensa Evasión
El grupo emplea tácticas de enmascaramiento utilizando nombres de archivo inocuos, como Intel o Dell. También despliegan herramientas comoBackstab para desactivar los sistemas de detección y respuesta de puntos finales (EDR), y utilizan PowerShell para desactivar los productos antivirus.
Acceso con credenciales
Black Basta Los afiliados utilizan herramientas de raspado de credenciales como Mimikatz y aprovechan vulnerabilidades conocidas para obtener acceso administrativo y escalar privilegios dentro de la red.
Descubrimiento
Las herramientas de exploración de redes, como SoftPerfect Network Scanner, se utilizan para trazar el mapa de la red e identificar los sistemas y almacenes de datos clave.
Movimiento lateral
El grupo utiliza herramientas como BITSAdmin, PsExec, Remote Desktop Protocol (RDP), Splashtop, ScreenConnect y Cobalt Strike para desplazarse lateralmente por las redes.
Colección
Antes de la encriptación, los datos se recopilan y preparan para la exfiltración. Esto puede implicar la compresión de archivos o la preparación de los datos para su transferencia.
Ejecución
Antes de la encriptación, los datos se recopilan y preparan para la exfiltración. Esto puede implicar la compresión de archivos o la preparación de los datos para su transferencia.
Exfiltración
Herramientas como RClone se utilizan para filtrar datos a servidores controlados por los actores. Estos datos suelen utilizarse para presionar a las víctimas para que paguen el rescate.
Impacto
El ransomware cifra los archivos utilizando un algoritmo ChaCha20 con una clave pública RSA-4096, añadiendo una extensión .basta o aleatoria a los nombres de archivo. Las notas de rescate dejadas en los sistemas comprometidos indican a las víctimas que se pongan en contacto con el grupo a través de un sitio Tor.
MITRE ATT&CK Cartografía
TTPs utilizados por Black Basta
Black Basta emplea diversas TTP alineadas con el marco MITRE ATT&CK . Algunas de las principales TTP son:
TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
T1078
Valid Accounts
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1543
Create or Modify System Process
T1547
Boot or Logon Autostart Execution
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1543
Create or Modify System Process
T1068
Exploitation for Privilege Escalation
T1547
Boot or Logon Autostart Execution
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1027
Obfuscated Files or Information
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1110
Brute Force
T1056
Input Capture
T1003
OS Credential Dumping
TA0007: Discovery
T1082
System Information Discovery
TA0008: Lateral Movement
T1077
Remote Services: SMB/Windows Admin Shares
TA0009: Collection
T1005
Data from Local System
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1041
Exfiltration Over C2 Channel
T1020
Automated Exfiltration
TA0040: Impact
T1485
Data Destruction
T1486
Data Encrypted for Impact
Detección de plataformas
Cómo detectar Black Basta con Vectra AI
Lista de las detecciones disponibles en la plataforma Vectra AI que indicarían un ataque de ransomware.
Preguntas frecuentes
¿Qué es el ransomware Blackbasta?
Blackbasta es un sofisticado grupo de ransomware que surgió en abril de 2022. Utilizan dobles tácticas de extorsión, cifrando los datos de las víctimas y amenazando con liberar información sensible si no se paga el rescate.
¿Cómo suele conseguir Blackbasta el acceso inicial a una red?
Blackbasta suele obtener el acceso inicial a través de correos electrónicos de phishing que contienen archivos adjuntos o enlaces maliciosos, aprovechando vulnerabilidades en aplicaciones de uso público y utilizando anuncios maliciosos o descargas no solicitadas (drive-by downloads).
¿Cuáles son los sectores más atacados por Blackbasta?
Blackbasta se dirige a una amplia gama de sectores, como sanidad, fabricación, finanzas, jurídico, educación, administración pública y tecnologías de la información.
¿Cuáles son los países más afectados por los ataques de Blackbasta?
Blackbasta se dirige principalmente a organizaciones de Estados Unidos, Canadá, Reino Unido, Alemania, Francia y Australia, aunque tiene alcance mundial.
¿Cuáles son algunas de las tácticas, técnicas y procedimientos (TTP) conocidos utilizados por Blackbasta?
Blackbasta emplea varias TTP, como phishing (T1566), intérprete de comandos y scripts (T1059), volcado de credenciales (T1003), desactivación de herramientas de seguridad (T1562) y cifrado de datos por impacto (T1486).
¿Cómo escala Blackbasta privilegios dentro de una red comprometida?
Blackbasta escala privilegios explotando vulnerabilidades de software no parcheadas y utilizando herramientas como Mimikatz para extraer credenciales de la memoria.
¿Qué métodos utiliza Blackbasta para eludir la detección?
Blackbasta utiliza técnicas de ofuscación, desactiva las herramientas de seguridad, emplea tácticas de "vivir de la tierra" (LotL) y utiliza software y herramientas legítimas para eludir la detección.
¿Cómo se desplaza lateralmente Blackbasta dentro de una red?
Blackbasta utiliza Remote Desktop Protocol (RDP), Windows Management Instrumentation (WMI) y servicios remotos para desplazarse lateralmente dentro de una red.
¿Cuáles son las fases típicas de un ataque de ransomware Blackbasta?
Las etapas incluyen acceso inicial, escalada de privilegios, evasión de defensas, acceso a credenciales, descubrimiento, movimiento lateral, recolección, ejecución, exfiltración e impacto.
¿Qué medidas preventivas pueden adoptar las organizaciones para protegerse contra el ransomware Blackbasta?
Las organizaciones pueden protegerse contra Blackbasta aplicando un sólido filtrado del correo electrónico, parcheando las vulnerabilidades con prontitud, utilizando autenticación multifactor, impartiendo formación periódica sobre seguridad a los empleados, vigilando la actividad inusual, manteniendo copias de seguridad actualizadas y desplegando sistemas de detección y respuesta ampliadas (XDR) para identificar y responder rápidamente a las amenazas.