Los ataques de Black Basta Ransomware afectaron a más de 500 organizaciones en todo el mundo

El impacto global de los ataques de Black Basta Rnsomware ha sido enorme, y más de 500 organizaciones han sido víctimas de esta actividad amenazadora. Este grupo, identificado desde abril de 2022, opera dentro del modelo de ransomware como servicio (RaaS), donde los afiliados ejecutan ciberataques en nombre del grupo, dirigidos a infraestructuras críticas en América del Norte, Europa y Australia. En particular, los afiliados de Black Basta han explotado vulnerabilidades como CVE-2024-1709 , una falla crítica de ConnectWise ScreenConnect, para obtener acceso inicial a las redes de las víctimas.

Una vez dentro, utilizan varias herramientas para acceso remoto, escaneo de red y filtración de datos, incluidas SoftPerfect, PsExec y Mimikatz. También son conocidos por explotar vulnerabilidades como ZeroLogon y PrintNightmare para escalar privilegios, además de aprovechar el Protocolo de escritorio remoto (RDP) para el movimiento lateral. Además, la implementación de la herramienta Backstab para desactivar las soluciones de detección y respuesta de endpoints (EDR) aumenta la sofisticación de sus ataques.

Para obstaculizar los esfuerzos de recuperación, los atacantes eliminan instantáneas de volumen antes de cifrar los sistemas comprometidos y dejar una nota de rescate. En respuesta a estas amenazas, agencias gubernamentales como CISA, FBI, HHS y MS-ISAC han emitido alertas que detallan las tácticas, técnicas y procedimientos (TTP) de Black Basta, junto con indicadores de compromiso (IoC) y mitigaciones recomendadas.

Particularmente vulnerables son las organizaciones de atención médica debido a su tamaño, dependencia tecnológica y acceso a información médica personal. Reconociendo esto, las agencias antes mencionadas instan a todas las entidades de infraestructura crítica, especialmente aquellas en el sector de la salud, a implementar las mitigaciones recomendadas para reducir el riesgo de compromiso de Black Basta y ataques de ransomware similares.

A pesar de los desafíos que plantean tales ataques, se han hecho esfuerzos para ayudar a las víctimas. En enero de 2024, SRLabs lanzó un descifrador gratuito para ayudar a las víctimas de Black Basta a recuperar sus datos sin sucumbir a las demandas de rescate. Estos esfuerzos han funcionado para algunas víctimas de la amenaza, pero muchas han tenido que utilizar recursos antimalware para eliminar de su sistema la desagradable amenaza de malware, además de otras amenazas similares. Estas iniciativas destacan el enfoque colaborativo necesario para combatir eficazmente las amenazas agresivas de ransomware.