Cotización de descuento para licencias múltiples
Seguridad informática El ransomware Black Basta aprovecha nuevas tácticas de...

El ransomware Black Basta aprovecha nuevas tácticas de ingeniería social

Por Mezo en Seguridad informática
Traducir a:
Español

El grupo Black Basta Ransomware, conocido por sus estrategias en constante evolución, ha adoptado nuevos métodos de entrega de carga útil a partir de octubre de 2024. Además de sus campañas de ransomware tradicionales, ahora distribuyen amenazas como Zbot y DarkGate, lo que ilustra un cambio calculado en su enfoque para comprometer los objetivos.

La ingeniería social se combina con el bombardeo de correos electrónicos

Black Basta utiliza el bombardeo de correo electrónico como un paso inicial para abrumar a sus objetivos. Esta táctica implica suscribir el correo electrónico de la víctima a numerosas listas de correo, ahogando de manera efectiva la comunicación legítima en una inundación de spam. Después del bombardeo de correo electrónico, los atacantes se comunican directamente con los usuarios afectados, aprovechando la confusión en su beneficio.

Suplantación de identidad en plataformas conocidas

Una táctica notable observada en agosto de 2024 consiste en que los atacantes se hacen pasar por personal de TI o de soporte en plataformas como Microsoft Teams. Haciéndose pasar por personas de confianza, convencen a las víctimas de que interactúen más con ellas. En algunos casos, los atacantes incluso se hacen pasar por personal de TI real de la organización atacada, lo que aumenta su credibilidad.

Aprovechamiento de herramientas de acceso remoto para la vulneración

Las víctimas suelen ser engañadas para que instalen software de acceso remoto legítimo, como AnyDesk, TeamViewer o Quick Assist de Microsoft. Una vez instaladas, estas herramientas otorgan a los atacantes el control del sistema. El equipo de seguridad de Microsoft rastrea al grupo de cibercriminales que explota Quick Assist bajo el identificador Storm-1811.

Conchas invertidas y códigos QR amenazantes

Además de las herramientas de acceso remoto, los atacantes utilizan el cliente OpenSSH para establecer shells inversos, lo que les permite controlar los sistemas comprometidos. Otro método consiste en enviar códigos QR maliciosos a través de plataformas de chat con el pretexto de agregar un dispositivo móvil de confianza. Estos códigos QR probablemente redirija a las víctimas a una infraestructura dañina o robe sus credenciales.

Entrega de carga útil: robo de credenciales y ataques posteriores

Una vez que se establece el acceso, los atacantes implementan cargas útiles adicionales, como recopiladores de credenciales personalizados, Zbot o DarkGate. Estas herramientas les permiten recopilar credenciales, enumerar el entorno de la víctima y preparar el terreno para futuros ataques. El robo de archivos de configuración de VPN, combinado con credenciales comprometidas, también puede permitir a los atacantes eludir la autenticación multifactor y acceder directamente a la red del objetivo.

Los orígenes y el arsenal de Black Basta

Black Basta surgió como grupo independiente en 2022 tras la disolución de la banda de ransomware Conti. Inicialmente, el grupo dependía de la botnet QakBot, pero desde entonces se ha diversificado e integrado sofisticadas técnicas de ingeniería social en sus operaciones.

Su arsenal de malware incluye:

  • KNOTWRAP : un cuentagotas de solo memoria escrito en C/C++, capaz de ejecutar cargas útiles en la memoria.
  • KNOTROCK : una utilidad .NET utilizada para implementar el propio ransomware.
  • DAWNCRY : Otro cuentagotas de solo memoria que descifra y ejecuta recursos integrados utilizando una clave codificada.
  • PORTYARD : Un tunelizador que se conecta a servidores de comando y control (C2) utilizando un protocolo binario personalizado.
  • COGSCAN : una herramienta de reconocimiento basada en .NET para la enumeración de hosts de red.

Un enfoque híbrido para la distribución de amenazas

La evolución de Black Basta pone de relieve su transición de la dependencia de las botnets a un modelo híbrido que combina la sofisticación técnica con la ingeniería social. Este cambio subraya su adaptabilidad y determinación para infiltrarse en las redes objetivo, lo que plantea un desafío persistente a las defensas de ciberseguridad.

Manteniéndose alerta contra Black Basta

Para contrarrestar estas amenazas, las organizaciones deben priorizar la concienciación sobre la ciberseguridad, implementar filtros de correo electrónico sólidos y educar continuamente a los empleados sobre los peligros de las comunicaciones no solicitadas y las tácticas de suplantación de identidad. Es esencial adoptar medidas eficaces para mitigar los riesgos que plantea este grupo de amenazas en constante adaptación.

Cargando...