La
banda de ransomware Black Basta, vinculada a Rusia, es la
principal sospechosa del ciberataque sufrido por la multinacional sevillana de consultoría e ingeniería
Ayesa, un grupo organizado que se calcula ha birlado
100 millones de dólares en rescates a un centenar de víctimas desde que naciera en 2022 y suele utilizar una
doble extorsión tras encriptar los datos, cobra por
recuperarlos pero también
por no publicar la información en el sitio de filtración de la
dark web de Black Basta.
Es lo que manejan
internamente desde Ayesa, aunque
oficialmente ni señalan a ningún grupo ni hablan de rescate, pero en los foros especializados ven clara la
vinculación de este grupo, que se infiltra a través de campañas de
phishing, en este caso, en una empresa con casi 12.000 empleados, y que ha tenido que
deshabilitar las VPN externas y han sido continuos los “
fallos de proxy porque Sandetel habrá cambiado alguna regla del Firewall”.
Black Basta, nombre por el que se conoce también a su
propio ransomware, emergió por primera vez en la primavera de 2022, operando bajo el modelo de ransomware como
servicio (RaaS). Esta organización rápidamente se estableció como uno de los actores de amenaza más destacados en el ámbito del RaaS a nivel mundial.
El
Incibe, el Instituto Nacional de Ciberseguridad, considera a Black Basta como un
“ejemplo perfecto” de la tendencia continua hacia el desarrollo de
amenazas ransomware más avanzadas, utilizando
técnicas complejas de evasión y algoritmos de cifrado robustos. A su vez, esta tendencia resalta la
necesidad de evolución de los sistemas de defensa en cuanto a dinamicidad y sofisticación.
Black Basta ha adoptado la
táctica de la doble extorsión, caracterizada por la
exfiltración de datos previo al despliegue del ransomware, operando mediante dos portales en la
red Tor, uno dedicado a la
difusión de información sustraída y otro para
facilitar la comunicación con las víctimas.
Desde su aparición, el grupo ha demostrado una
actividad “considerable”, particularmente en los primeros meses, logrando atacar entre
75 y 300 organizaciones, según diferentes fuentes, principalmente en Estados Unidos, situándose como el cuarto actor de ransomware más prominente, en términos de número de víctimas durante ese periodo.
Una amenaza para los sectores industriales
Según el Incibe, Black Basta ha demostrado ser u
na “amenaza importante” para los sectores industriales, ya que el 30% de sus objetivos pertenecieron a sectores como los de
manufactura, ingeniería y construcción. “Esta preferencia se debe a la
alta dependencia de estos sectores en la
continuidad operacional, su capacidad para realizar
pagos significativos, infraestructuras de TI potencialmente desactualizadas y menos enfocadas en ciberseguridad, así como la
alta valoración de sus datos en el mercado negro”.
Según las fuentes que manejan desde el Incibe, Black Basta ha logrado obtener pagos cercanos a los 100 millones de dólares, principalmente en Estados Unidos y Alemania. Si bien los objetivos del grupo fueron empresas de todo tipo, la mayoría de las víctimas registradas pertenecían a organizaciones de tamaño medio.
Infección y propagación
Black Basta empleaba
técnicas de phishing para infiltrarse en las redes de sus objetivos, aprovechando
métodos que evitan la detección por parte de soluciones antivirus, como el envío de correos electrónicos que incitan a las víctimas a descargar un
archivo ZIP que contenía una imagen ISO, una estrategia diseñada para eludir los mecanismos de seguridad, ya que los archivos ISO no son comúnmente bloqueados o marcados como peligrosos por los sistemas de seguridad.
El proceso de infección se sirve de
diferentes métodos y vulnerabilidades, como un acceso inicial con un troyano Qakbot, escenario típico en Windows, donde una vez instalado el malware es capaz de realizar diferentes acciones maliciosas, como monitorizar, registrar pulsaciones de teclas, recolectar credenciales de acceso y propagarse a otros sistemas de la red mediante técnicas de movimiento lateral. Una vez dentro del sistema,
utiliza nombres engañosos dentro de la unidad raíz como “C:Dell” o “C:Intel” para desplegar parte del arsenal malicioso.
También con
escalada de privilegios, en el que el escaneo de redes se lleva a cabo utilizando herramientas como
SoftPerfect, netscan.exe y los servicios WMI, para identificar y deshabilitar diferentes productos de seguridad, realizando un
análisis detallado de la red mediante el uso de comandos como net view, arp, ipconfig o netstat para mapear los potenciales objetivos adicionales. Posteriormente, se sirve de herramientas de extracción de credenciales, como Mimikatz para adquirir contraseñas y hashes NTLM, lo que le permite realizar una escalada de privilegios.
Durante su operación, Black Basta mantiene una
comunicación activa con un servidor de comando y control (C&C) para moverse lateralmente a través de la red y gestionar las infecciones. Tras la ejecución del ransomware y antes de generar el proceso de cifrado de archivos, se
crea una nota de rescate en un fichero readme.txt de cada equipo afectado con una id personalizada. Dentro de la nota se incluye una dirección TOR con las instrucciones del rescate o
incluso la coloca como fondo de escritorio.
Black Basta emplea una serie de
técnicas avanzadas para
evadir la detección por soluciones de seguridad y para
obstaculizar la recuperación de archivos desde copias de seguridad, alterando su firma digital y estructura de código, empleando herramientas y procesos legítimos del sistema (como PowerShell, WMI, y PSExec) para ejecutar acciones maliciosas, e incluso incorporando rutinas de detección de entornos de análisis y sandbox que dificultan esa detección. Además,
ejecuta parte de su carga útil (Fileless) directamente en la memoria, minimizando su huella en el sistema de archivos y evitando su detección, intenta desactivar las herramientas de seguridad y elimina y cifrando las copias de seguridad.
Black Basta cifra los datos de las víctimas mediante una
combinación de ChaCha20 y RSA-4096. La clave de cifrado es generada utilizando la función de C++ rand_s, resultando en una salida hexadecimal aleatoria. Antes de comenzar todo el proceso, se iniciará el sistema en modo seguro para, a continuación, comenzar a cifrar todos los archivos del dispositivo. Para acelerar el proceso y mejorar su eficiencia, el ransomware cifra los
primeros fragmentos de 64 bytes, quedando 128 bytes de datos sin cifrar. Una vez terminado, el archivo cambia su extensión a ‘.basta’, modificando automáticamente el icono del mismo.
Precisamente una de las vulnerabilidades del mecanismo de cifrado empleado por el ransomware Black Basta
es una implementación defectuosa del algoritmo ChaCha, específicamente en la gestión del flujo de claves para la operación XOR en segmentos de 64 bytes de los datos objetivo, hasta el punto de que se ha desarrollado una
herramienta de descifrado ‘Black Basta Buster’, que consiste en varios scripts de Python, aunque la recuperación de archivos no siempre es posible, aclaran desde Incibe.