Ransomware Black Basta atacó a más de 500 entidades en América del Norte, Europa y Australia

La operación Black Basta Ransomware-as-a-Service (RaaS) se ha dirigido a más
de 500 entidades de la industria privada y de infraestructura crítica en
América del Norte, Europa y Australia desde su aparición en abril de 2022.

En un
aviso conjunto publicado por la Agencia de Seguridad de Infraestructura y
Ciberseguridad (CISA)
, la Oficina Federal de Investigaciones (FBI), el Departamento de Salud y
Servicios Humanos (HHS) y el Centro de Análisis e Intercambio de Información
Multiestatal (MS-ISAC), las agencias dijeron que los actores de amenazas
cifraron y robaron datos de al menos 12 de 16 sectores de infraestructura
críticos.

“Los afiliados de Black Basta utilizan técnicas comunes de acceso inicial,
como el phishing y la explotación de vulnerabilidades conocidas, y luego
emplean un modelo de doble extorsión, cifrando sistemas y exfiltrando
datos”,
dice el boletín [PDF].

A diferencia de otros grupos de ransomware, las notas de rescate que se
arrojan al final del ataque no contienen una demanda de rescate inicial ni
instrucciones de pago. Más bien, las notas proporcionan a las víctimas un
código único y les indican que se comuniquen con la pandilla a través de una
URL .onion.

Black Basta fue observado por primera vez
en estado salvaje en abril de 2022 utilizando QakBot como vector inicial y ha
seguido siendo un actor de ransomware muy activo desde entonces.

Las estadísticas recopiladas por Malwarebytes
muestran
que el grupo ha estado vinculado a 28 de los 373 ataques de ransomware
confirmados que tuvieron lugar en abril de 2024. Según Kaspersky,
fue la duodécima familia más activa en 2023. Black Basta también ha sido testigo de un aumento de actividad en Primer
trimestre de 2024, con un aumento intertrimestral del 41%.

Hay pruebas
que sugieren que los operadores de Black Basta tienen vínculos con otro grupo
de delitos cibernéticos
rastreado como FIN7, que ha pasado a realizar ataques de ransomware desde 2020.

Las cadenas de ataques que involucran al ransomware se han basado en
herramientas como el escáner de red SoftPerfect para escaneo de red,
BITSAdmin, balizas Cobalt Strike, ConnectWise ScreenConnect y PsExec para
movimiento lateral, Mimikatz para escalada de privilegios y RClone para
filtración de datos antes del cifrado.

Otros métodos utilizados para obtener privilegios elevados incluyen la
explotación de fallas de seguridad como >ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278 and CVE-2021-42287), y PrintNightmare (CVE-2021-34527).

Algunos casos también han implicado la implementación de una herramienta
llamada
Backstab
para deshabilitar el software de detección y respuesta de puntos finales
(EDR). Vale la pena señalar que Backstab también ha sido empleado por
afiliados de LockBit en el pasado.

El último paso es el cifrado de archivos utilizando un algoritmo ChaCha20 con
una clave pública RSA-4096, no sin antes eliminar las instantáneas de volumen
a través del programa vssadmin.exe para inhibir la recuperación del sistema.

“Las organizaciones de atención médica son objetivos atractivos para los
ciberdelincuentes debido a su tamaño, dependencia tecnológica, acceso a
información de salud personal y los impactos únicos de las interrupciones en
la atención al paciente”, dijeron las agencias.

El desarrollo se produce cuando una campaña de
ransomware CACTUS continúa explotando fallas
de seguridad en una plataforma de análisis en la nube e inteligencia
empresarial llamada Qlik Sense para obtener acceso inicial a los entornos de
destino.

Un nuevo análisis realizado por el equipo Fox-IT de NCC Group
ha revelado
que 3143 servidores todavía están en riesgo de CVE-2023-48365 (también
conocido como DoubleQlik), y la mayoría de ellos están ubicados en EE. UU.,
Italia, Brasil, Países Bajos y Alemania. de 17 de abril de 2024.

El panorama del ransomware se encuentra en un estado de cambio, registrando
una disminución del 18% en la actividad en el primer trimestre de 2024 en
comparación con el trimestre anterior, liderada principalmente por operaciones
policiales contra
ALPHV
(también conocido como BlackCat) y
LockBit.

Dado que LockBit sufre importantes reveses de reputación entre sus afiliados,
se sospecha que lo más probable es que el grupo intente cambiar su marca.
“El grupo de ransomware DarkVault es un posible grupo sucesor de
LockBit”, dijo la firma de ciberseguridad ReliaQuest,
citando similitudes
con la marca LockBit.

Algunos de los otros nuevos grupos de ransomware que aparecieron en las
últimas semanas incluyen
APT73,
DoNex,
DragonForce,
Hunt
(a Dharma/Crysis ransomware variant),
KageNoHitobito,
Megazord,
Qiulong,
Rincrypt, y
Shinra.

La “diversificación” de las cepas de ransomware y
“la capacidad de adaptarse rápidamente y cambiar de marca frente a la
adversidad habla de la naturaleza dinámica y resiliente de los actores de
amenazas en el ecosistema de ransomware”,
dijo la firma de análisis blockchain Chainalysis, destacando una disminución del 46% en los pagos de rescate. en 2023.

Esto lo corroboran los hallazgos de Coveware, propiedad de Veeam, que
dijo
que la proporción de víctimas que optaron por pagar alcanzó un nuevo mínimo
histórico del 28% en el primer trimestre de 2024. El pago de rescate promedio
para el período fue de $381,980, una caída del 32% desde Cuarto trimestre de
2023.

Según el informe Sophos State of Ransomware 2024 publicado a finales del mes
pasado, en el que se encuestó a 5.000 organizaciones en todo el mundo, un
número considerable de víctimas se negó a pagar la cantidad inicial exigida.

“1.097 encuestados cuya organización pagó el rescate compartieron la suma
real pagada, lo que revela que el pago promedio (mediano) se ha multiplicado
por cinco durante el último año, de 400.000 dólares a 2 millones de
dólares”,
dijo la compañía.

“Si bien la tasa de pago del rescate ha aumentado, sólo el 24% de los
encuestados dice que su pago coincidió con la solicitud original. El 44% pagó
menos que la demanda original, mientras que el 31% pagó más”.

Fuente:
THN

Leave Your Comment