Ransomware Black Basta

De ESED - It & CyberSecurity

ransomware black basta

La empresa tecnológica ABB en mayo de 2023 fue atacada con un ransomware lanzado por el grupo Black Basta, que opera como un servicio de ransomware (RaaS). 

Un grupo de ciberdelincuentes que se ha hecho conocido en los dos últimos años por haber lanzado ataques contra empresas como: Asociación Dental Americana, Sobeys, Knauf, entre otras. 

Nueva llamada a la acción

En su momento se especuló que las herramientas utilizadas por Black Basta para lanzar sus ciberataques podrían estar relacionadas con el grupo de ciberdelincuentes ruso FIN7 por sus similitudes. Así como también la participación de ex-miembros del desactivado grupo Conti. 

¿Cuál es su método operandi?

Black Basta utiliza tácticas de doble extorsión, utilizando herramientas como el troyano Qakbot, así como aprovechar las vulnerabilidades PrintNightmare, ZeroLogon y NoPac para obtener privilegios escalados. 

PrintNightmare

PrintNightmare se trata de una vulnerabilidad que afecta al servicio de impresión de Windows. Ésta permite al atacante ejecutar código de forma remota en sistemas Windows y obtener privilegios elevados. 

Esta vulnerabilidad se hizo ampliamente conocida en 2021 debido a que se filtró información sobre ella antes de que Microsoft pudiera emitir un parche de seguridad. 

ZeroLogon

ZeroLogon se trata de una vulnerabilidad crítica que afecta al protocolo NetLogon en sistemas de Windows Server. Permite que el ciberdelincuente pueda realizar un ataque de “eevación de privilegios” y obtener acceso de administrador a un controlador de dominio. 

Por ejemplo, un ciberdelincuente podría utilizar ZeroLogon para comprometer un dominio de Windows para modificar las cuentas de usuario o instalar malware. 

NoPAC

NoPAC es una técnica que explota las funciones de red de Windows para realizar ataques de redireccionamiento de tráfico y capturar datos. 

"NoPAC" se refiere a "No Proxy Auto Configuration", y el exploit se centra en manipular la configuración del proxy de un sistema Windows para dirigir el tráfico a través de un servidor controlado por el atacante. 

Una de las características más destacadas de este ransomware es la utilización de herramientas de evasión de EDR (Endpoint Detection and Response), capaces de eludir los sistemas de seguridad como Windows Defender. 

Los ciberdelincuentes lanzan sus ataques utilizando el troyano Qakbot, desarrollado para robar información personal, el cual se ejecuta a través de correos electrónicos. 

Infografía Ransomware

¿Cómo protegerse contra el ransomware Black Basta? 

Al igual que cualquier amenaza de ransomware, para protegerse contra “Black Basta”, se requiere contar con una combinación de soluciones preventivas y de respuesta ante incidentes. 

En ESED, como especialistas en seguridad informática, te ofrecemos las soluciones mencionadas anteriormente para ayudarte a proteger tu activo más valioso, los datos. 

Puedes contactar con nosotros sin ningún compromiso en el siguiente enlace