Presentación de la nueva cobertura de la plataforma Vectra AI para Copilot y Microsoft Azure

Vectra AI Japón、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icono de hamburguesa línea superior
Icono de hamburguesa línea media
Icono de hamburguesa línea inferior
cybercriminels
>
Grupo de ransomware

Bashe

Bashe, un grupo de ransomware anteriormente conocido como APT73 o Eraleig, surgió en 2024 con tácticas parecidas a LockBit, atacando industrias críticas en países desarrollados y aprovechando la extorsión de datos a través de un sitio de fuga de datos (DLS) basado en Tor.

Detectar TTPs de Bashe
¿Está su organización a salvo de los ataques de Bashe?
Fondo
Objetivos
TTPs
Detección
Preguntas frecuentes
Ver sesión informativa sobre amenazas

El origen de Bashe

Bashe, conocido anteriormente como APT73 y Eraleig Ransomware, surgió a mediados de abril de 2024, autoidentificándose inicialmente como una "amenaza persistente avanzada" (APT). Esta autodenominación, normalmente reservada a ciberagentes muy sofisticados y con muchos recursos, parece formar parte de la estrategia de Bashe para presentarse como una amenaza creíble. Se cree que Bashe surgió del grupo de ransomware LockBit, basándose en las similitudes entre sus sitios de fuga de datos (DLS). La estructura del DLS de Bashe incluye las secciones "Contacto", "Cómo comprar Bitcoin", "Web Security Bug Bounty" y "Espejos", idénticas a las de LockBit.

Bashe opera a través de la red Tor con infraestructura alojada en la República Checa. Se basa en AS9009 ASN para el alojamiento, una red utilizada anteriormente por varios grupos maliciosos y malware, incluidos DarkAngels, Vice Society, TrickBot, Meduza Stealer y Rimasuta. Esta elección de infraestructura sugiere que Bashe puede estar aprovechando sistemas conocidos para eludir la detección.

El origen de Bashe
Objetivos

Objetivos de Bashe

Países objetivo de Bashe

Al parecer, las actividades del grupo han afectado a organizaciones de Norteamérica, Reino Unido, Francia, Alemania, India y Australia. El hecho de que Bashe se centre en países desarrollados con valiosos activos de datos pone de relieve su enfoque global para maximizar el potencial de victimización.

Fuente de la imagen: ransomware.live

Industrias en el punto de mira de Bashe

Bashe parece dar prioridad a los sectores de alto valor, como la tecnología, los servicios empresariales, la industria manufacturera, los servicios de consumo y los servicios financieros. El grupo también se centra en el transporte, la logística, la sanidad y la construcción. Centrarse en estas industrias permite a Bashe maximizar su influencia en las peticiones de rescate al dirigirse a sectores que manejan datos sensibles o esenciales.

Industrias en el punto de mira de Bashe

Bashe parece dar prioridad a los sectores de alto valor, como la tecnología, los servicios empresariales, la industria manufacturera, los servicios de consumo y los servicios financieros. El grupo también se centra en el transporte, la logística, la sanidad y la construcción. Centrarse en estas industrias permite a Bashe maximizar su influencia en las peticiones de rescate al dirigirse a sectores que manejan datos sensibles o esenciales.

Las víctimas de Bashe

Hasta ahora, Bashe ha violado a unas 35 víctimas.

Método de ataque

Acceso inicial
Escalada de privilegios
Defensa Evasión
Acceso con credenciales
Descubrimiento
Movimiento lateral
Colección
Ejecución
Exfiltración
Impacto
Una figura sombría tiende una amplia red sobre un paisaje digital repleto de diversos dispositivos, como ordenadores, teléfonos inteligentes y tabletas. La red simboliza los intentos del atacante de encontrar vulnerabilidades o utilizar técnicas de phishing para obtener acceso no autorizado.
Una escalera digital que se extiende hacia arriba desde un icono de usuario básico hacia una corona que simboliza privilegios administrativos. Esto representa los esfuerzos del atacante para obtener acceso de nivel superior dentro del sistema.
Un camaleón que se funde con un fondo digital, con ceros y unos fluyendo a su alrededor. Representa la capacidad del atacante para evitar ser detectado por las medidas de seguridad, cambiando de táctica para mezclarse con el tráfico normal de la red.
Un ladrón con una ganzúa trabajando en un ojo de cerradura gigante con forma de formulario de inicio de sesión, que representa los esfuerzos del atacante por robar credenciales de usuario para obtener acceso no autorizado.
Una lupa moviéndose sobre un mapa digital de una red, resaltando archivos, carpetas y conexiones de red. Esta imagen representa la fase en la que los atacantes exploran el entorno para comprender la estructura y dónde residen los datos valiosos.
Una serie de nodos interconectados con una figura sombría moviéndose sigilosamente entre ellos. Esto ilustra los movimientos del atacante dentro de la red, buscando obtener el control de sistemas adicionales o propagarse malware.
Una gran aspiradora aspira archivos, iconos de datos y carpetas en una bolsa sostenida por una figura sombría. Esta imagen simboliza el proceso de recopilación de datos valiosos de la red objetivo.
Una ventana de símbolo del sistema abierta delante de un fondo digital, con código malicioso siendo tecleado. Esto representa la fase en la que los atacantes ejecutan su carga maliciosa en el sistema comprometido.
Una serie de archivos que se canalizan a través de un canal encubierto desde un ordenador a una dirección cloud etiquetada con una calavera, que simboliza la transferencia no autorizada de datos a un lugar controlado por el atacante.
Una pantalla agrietada con un paisaje urbano digital en caos detrás, que simboliza el impacto destructivo del ciberataque, como la interrupción del servicio, la destrucción de datos o las pérdidas financieras.
Una figura sombría tiende una amplia red sobre un paisaje digital repleto de diversos dispositivos, como ordenadores, teléfonos inteligentes y tabletas. La red simboliza los intentos del atacante de encontrar vulnerabilidades o utilizar técnicas de phishing para obtener acceso no autorizado.
Acceso inicial
Una escalera digital que se extiende hacia arriba desde un icono de usuario básico hacia una corona que simboliza privilegios administrativos. Esto representa los esfuerzos del atacante para obtener acceso de nivel superior dentro del sistema.
Escalada de privilegios
Un camaleón que se funde con un fondo digital, con ceros y unos fluyendo a su alrededor. Representa la capacidad del atacante para evitar ser detectado por las medidas de seguridad, cambiando de táctica para mezclarse con el tráfico normal de la red.
Defensa Evasión
Un ladrón con una ganzúa trabajando en un ojo de cerradura gigante con forma de formulario de inicio de sesión, que representa los esfuerzos del atacante por robar credenciales de usuario para obtener acceso no autorizado.
Acceso con credenciales
Una lupa moviéndose sobre un mapa digital de una red, resaltando archivos, carpetas y conexiones de red. Esta imagen representa la fase en la que los atacantes exploran el entorno para comprender la estructura y dónde residen los datos valiosos.
Descubrimiento
Una serie de nodos interconectados con una figura sombría moviéndose sigilosamente entre ellos. Esto ilustra los movimientos del atacante dentro de la red, buscando obtener el control de sistemas adicionales o propagarse malware.
Movimiento lateral
Una gran aspiradora aspira archivos, iconos de datos y carpetas en una bolsa sostenida por una figura sombría. Esta imagen simboliza el proceso de recopilación de datos valiosos de la red objetivo.
Colección
Una ventana de símbolo del sistema abierta delante de un fondo digital, con código malicioso siendo tecleado. Esto representa la fase en la que los atacantes ejecutan su carga maliciosa en el sistema comprometido.
Ejecución
Una serie de archivos que se canalizan a través de un canal encubierto desde un ordenador a una dirección cloud etiquetada con una calavera, que simboliza la transferencia no autorizada de datos a un lugar controlado por el atacante.
Exfiltración
Una pantalla agrietada con un paisaje urbano digital en caos detrás, que simboliza el impacto destructivo del ciberataque, como la interrupción del servicio, la destrucción de datos o las pérdidas financieras.
Impacto
MITRE ATT&CK Cartografía

TA0001: Initial Access
No items found.
TA0002: Execution
No items found.
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
No items found.
TA0005: Defense Evasion
No items found.
TA0006: Credential Access
No items found.
TA0007: Discovery
No items found.
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
No items found.
TA0040: Impact
No items found.
Detección de plataformas

Cómo detectar ataques de ransomware con Vectra AI

Aunque las Tácticas, Técnicas y Procedimientos (TTP) de Bashe siguen siendo objeto de investigación, podemos evaluar las actividades probables basándonos en sus similitudes con LockBit. He aquí un esquema de las detecciones de Vectra AI que se activarán en caso de un ataque típico de ransomware:

AWS Ransomware S3 Activity

M365 Ransomware

Ransomware File Activity

Ver más detecciones
Evalúe su exposición a los ataques

Preguntas frecuentes

¿Está su organización a salvo de los ataques de Bashe?

Evalúe su exposición a los ataques