Ciberseguridad
ciber seguro
febrero 21, 2025
#StopRansomware es un esfuerzo para publicar avisos para los defensores de la red que detallan varias variantes de ransomware y actores de amenazas de ransomware. Estos avisos incluyen tácticas, técnicas y procedimientos (TTP) e indicadores de compromiso (IOC) observados recientemente e históricamente para ayudar a las organizaciones a protegerse contra el ransomware. Visite stopransomware.gov para ver todos los avisos
Según CISA, los afiliados de Black Basta utilizan técnicas comunes de acceso inicial, como el phishing y la explotación de vulnerabilidades conocidas, y luego emplean un modelo de doble extorsión, cifrando sistemas y exfiltrando datos. Las notas de rescate generalmente no incluyen una demanda de rescate inicial ni instrucciones de pago. En cambio, las notas proporcionan a las víctimas un código único y les indican que se comuniquen con el grupo de ransomware a través de una URL .onion (accesible a través del navegador Tor). Normalmente, las notas de rescate dan a las víctimas entre 10 y 12 días para pagar el rescate antes de que el grupo de ransomware publique sus datos en el sitio TOR de Black Basta, Basta News.
Puede descargar el reporte completo Aquí
Acceso inicial
Los afiliados de Black Basta utilizan principalmente el phishing [T1566] para obtener acceso inicial. Según investigadores de ciberseguridad, los afiliados también utilizaron Qakbot durante el acceso inicial.[1]
A partir de febrero de 2024, los afiliados de Black Basta comenzaron a explotar la vulnerabilidad CVE-2024-1709 [CWE-288] [T1190] de ConnectWise. En algunos casos, se ha observado que los afiliados abusan de credenciales válidas [T1078].
Descubrimiento y ejecución
Los afiliados de Black Basta utilizan herramientas como el escáner de red SoftPerfect (netscan.exe) para realizar el escaneo de la red. Los investigadores de ciberseguridad han observado que afiliados realizan reconocimientos utilizando utilidades con nombres de archivos inofensivos como Intel o Dell, dejados en la unidad raíz C:\ [T1036].
Movimiento lateral
Los afiliados de Black Basta utilizan herramientas como BITSAdmin y PsExec, junto con el Protocolo de escritorio remoto (RDP), para el movimiento lateral. Algunos afiliados también utilizan herramientas como Splashtop, Screen Connect y balizas Cobalt Strike para ayudar con el acceso remoto y el movimiento lateral.
Escalada de privilegios y movimiento lateral
Los afiliados de Black Basta utilizan herramientas de extracción de credenciales como Mimikatz para escalar privilegios. Según investigadores de ciberseguridad, los afiliados de Black Basta también han explotado ZeroLogon (CVE-2020-1472, [CWE-330]), NoPac (CVE-2021-42278 [CWE-20] y CVE-2021-42287 [CWE-269]). y PrintNightmare (CVE-2021-34527, [CWE-269]) vulnerabilidades para la escalada de privilegios locales y de Windows Active Domain [T1068].
Exfiltración y cifrado
Los afiliados de Black Basta utilizan RClone para facilitar la filtración de datos antes del cifrado. Antes de la exfiltración, los investigadores de ciberseguridad observaron que los afiliados de Black Basta usaban PowerShell [T1059.001] para deshabilitar productos antivirus y, en algunos casos, implementaban una herramienta llamada Backstab, diseñada para deshabilitar las herramientas de detección y respuesta de endpoints (EDR) [T1562.001]. Una vez finalizados los programas antivirus, un algoritmo ChaCha20 con una clave pública RSA-4096 cifra completamente los archivos [T1486]. Se agrega una extensión de archivo .basta o aleatoria a los nombres de los archivos y se deja una nota de rescate titulada readme.txt en el sistema comprometido. Para inhibir aún más la recuperación del sistema, los afiliados utilizan el programa vssadmin.exe para eliminar instantáneas de volumen [T1490].
Herramientas utilizadas:
Tool Name
Description
BITSAdmin
A command-line utility that manages downloads/uploads between a client and server by using the Background Intelligent Transfer Service (BITS) to perform asynchronous file transfers.
Cobalt Strike
A penetration testing tool used by security professions to test the security of networks and systems. Black Basta affiliates have used it to assist with lateral movement and file execution.
Mimikatz
A tool that allows users to view and save authentication credentials such as Kerberos tickets. Black Basta affiliates have used it to aid in privilege escalation.
PSExec
A tool designed to run programs and execute commands on remote systems.
PowerShell
A cross-platform task automation solution made up of a command-line shell, a scripting language, and a configuration management framework, which runs on Windows, Linux, and macOS.
RClone
A command line program used to sync files with cloud storage services such as Mega.
SoftPerfect
A network scanner (netscan.exe) used to ping computers, scan ports, discover shared folders, and retrieve information about network devices via Windows Management Instrumentation (WMI), Simple Network Management Protocol (SNMP), HTTP, Secure Shell (SSH) and PowerShell. It also scans for remote services, registry, files, and performance counters.
ScreenConnect
Remote support, access, and meeting software that allows users to control devices remotely over the internet.
Splashtop
Remote desktop software that allows remote access to devices for support, access, and collaboration.
WinSCP
Windows Secure Copy is a free and open source SSH File Transfer Protocol, File Transfer Protocol, WebDAV, Amazon S3, and secure copy protocol client. Black Basta affiliates have used it to transfer data from a compromised network to actor-controlled accounts.
