La empresa tecnológica ABB en mayo de 2023 fue atacada con un ransomware lanzado por el grupo Black Basta, que opera como un servicio de ransomware (RaaS).
Un grupo de ciberdelincuentes que se ha hecho conocido en los dos últimos años por haber lanzado ataques contra empresas como: Asociación Dental Americana, Sobeys, Knauf, entre otras.
En su momento se especuló que las herramientas utilizadas por Black Basta para lanzar sus ciberataques podrían estar relacionadas con el grupo de ciberdelincuentes ruso FIN7 por sus similitudes. Así como también la participación de ex-miembros del desactivado grupo Conti.
¿Cuál es su método operandi?
Black Basta utiliza tácticas de doble extorsión, utilizando herramientas como el troyano Qakbot, así como aprovechar las vulnerabilidades PrintNightmare, ZeroLogon y NoPac para obtener privilegios escalados.
PrintNightmare
PrintNightmare se trata de una vulnerabilidad que afecta al servicio de impresión de Windows. Ésta permite al atacante ejecutar código de forma remota en sistemas Windows y obtener privilegios elevados.
Esta vulnerabilidad se hizo ampliamente conocida en 2021 debido a que se filtró información sobre ella antes de que Microsoft pudiera emitir un parche de seguridad.
ZeroLogon
ZeroLogon se trata de una vulnerabilidad crítica que afecta al protocolo NetLogon en sistemas de Windows Server. Permite que el ciberdelincuente pueda realizar un ataque de “eevación de privilegios” y obtener acceso de administrador a un controlador de dominio.
Por ejemplo, un ciberdelincuente podría utilizar ZeroLogon para comprometer un dominio de Windows para modificar las cuentas de usuario o instalar malware.
NoPAC
NoPAC es una técnica que explota las funciones de red de Windows para realizar ataques de redireccionamiento de tráfico y capturar datos.
"NoPAC" se refiere a "No Proxy Auto Configuration", y el exploit se centra en manipular la configuración del proxy de un sistema Windows para dirigir el tráfico a través de un servidor controlado por el atacante.
Una de las características más destacadas de este ransomware es la utilización de herramientas de evasión de EDR (Endpoint Detection and Response), capaces de eludir los sistemas de seguridad como Windows Defender.
Los ciberdelincuentes lanzan sus ataques utilizando el troyano Qakbot, desarrollado para robar información personal, el cual se ejecuta a través de correos electrónicos.
¿Cómo protegerse contra el ransomware Black Basta?
Al igual que cualquier amenaza de ransomware, para protegerse contra “Black Basta”, se requiere contar con una combinación de soluciones preventivas y de respuesta ante incidentes.
-
Mantener los sistemas operativos actualizados, así como las aplicaciones i el software.
-
Utilizar soluciones de ciberseguridad como antivirus, antiphishing, cortafuegos, etc.
-
Contar con un sistema de copias de seguridad.
-
Control de accesos y de permisos para evitar la fuga de datos.
-
Realizar monitorizaciones de seguridad periódicas.
-
Disponer de una estrategia de ciberseguridad, una política de seguridad informática y un plan de respuesta de ransomware.
En ESED, como especialistas en seguridad informática, te ofrecemos las soluciones mencionadas anteriormente para ayudarte a proteger tu activo más valioso, los datos.
Puedes contactar con nosotros sin ningún compromiso en el siguiente enlace.
BitPaymer o Ryuk, los ciberataques de fin de semana
Medidas de ciberseguridad específicas contra ransomware
.png?width=262&height=150&name=accio-10-negre%20(1).png)
