El colectivo de ransomware Black Basta demostró su resistencia y capacidad para adaptarse a un espacio en constante cambio mediante el uso de nuevas herramientas y tácticas personalizadas para evadir la detección y propagarse a través de las redes.
Black Basta es un operador de ransomware que ha estado activo desde abril de 2022 y ha llevado a cabo más de 500 ataques exitosos contra empresas de todo el mundo.
Este grupo de ransomware emplea una estrategia de extorsión dual que combina el robo de datos y el cifrado para exigir enormes pagos de rescate por valor de millones de dólares. El grupo de ransomware se asoció anteriormente con la botnet QBot para obtener acceso inicial a las redes corporativas.
Sin embargo, después de que las fuerzas del orden detuvieran la botnet QBot, los grupos de ransomware tuvieron que forjar nuevas asociaciones para infiltrarse en las redes corporativas, informa Mandiant.
Además, Mandiant, que rastrea al actor de amenazas como UNC4393, identificó nuevo malware y herramientas utilizadas en la intrusión Black Basta, lo que demuestra evolución y resiliencia.
La banda de ransomware Black Basta ha estado activa en lo que va de año, comprometiendo a empresas conocidas como Veolia North America, Hyundai Motor Europe y Keytronic.
La sofisticación de este grupo de amenazas se refleja en el hecho de que con frecuencia tienen acceso a vulnerabilidades de día cero, como Windows Privilege Escalation (2024-26169) y VMware ESXi Authentication Bypass Flaw (CVE-2024-37085).
Las nuevas tácticas y herramientas de Black Busta
Después de que el FBI y el Departamento de Justicia derribaran la infraestructura de QBot a finales de 2023, Black Basta recurrió a otros grupos de distribución de acceso temprano, en particular aquellos que entregaban malware DarkGate.
Desde entonces, Black Basta pasó a utilizar SilentNight, un malware de puerta trasera multipropósito distribuido mediante publicidad maliciosa, y dejó de utilizar el phishing como método principal de acceso inicial.
Mandiant informa que Black Basta ha pasado gradualmente del uso de herramientas disponibles públicamente al uso de malware personalizado desarrollado internamente.
El ciclo de vida actual del ataque de Black Busta
Fuente: Mandiant
A principios de 2024, se observó que UNC4393 implementaba un cuentagotas personalizado de solo memoria llamado DawnCry. Este gotero inició una infección de varios pasos, seguido por DaveShell y finalmente el tunelizador PortYard.
PortYard, también una herramienta personalizada, establece una conexión con la infraestructura de comando y control (C2) y el tráfico de proxy de Black Basta.
Otras herramientas personalizadas notables utilizadas por Black Basta en operaciones recientes incluyen:
CogScan: una herramienta de reconocimiento .NET utilizada para recopilar una lista de hosts disponibles en una red y recopilar información del sistema. SystemBC: un tunelizador que utiliza un protocolo binario personalizado sobre TCP para recuperar comandos relacionados con el proxy desde un servidor C2. KnockTrock: una utilidad basada en .NET que crea enlaces simbólicos en recursos compartidos de red, ejecuta el ejecutable del ransomware BASTA y proporciona la ruta a los enlaces simbólicos recién creados. KnowTrap: un cuentagotas de solo memoria escrito en C/C++ que puede ejecutar cargas útiles adicionales en la memoria.
Además de lo anterior, Black Basta continúa utilizando binarios “verdes” y herramientas listas para usar en sus últimos ataques, incluida la utilidad de línea de comandos certutil de Windows para descargar SilentNight y la herramienta Rclone para filtrar datos.
En general, Black Basta sigue siendo una importante amenaza global y una de las principales amenazas en el espacio del ransomware.
Fuente: https://www.bleepingcomputer.com/news/security/black-basta-ransomware-switches-to-more-evasive-custom-malware/amp/