A principios de este mes, surgió un informe de que el antiguo grupo de ransomware Conti se había separado, con muchos miembros del colectivo uniéndose o creando nuevas facciones adversarias y por qué eso hizo que estos antiguos miembros fueran más peligrosos que nunca. A día de hoy, esto puede haberse convertido en una realidad. Un nuevo grupo de ransomware con el nombre de Black Basta se ha vuelto notable en el juego de ransomware, se formó en abril de 2022 y se cree que está formado por ex miembros de Conti y REvil.
El ransomware Black Basta utilizado por esta red de ransomware emplea una variedad de métodos de extorsión. Para que se lleve a cabo el procedimiento de encriptación, su algoritmo de encriptación necesita acceso administrativo. Esta pandilla usa malware que es muy difícil de identificar porque opera de forma encubierta y rara vez muestra signos. Cualquier servicio de Windows que se esté ejecutando actualmente se toma y se usa para iniciar el proceso del algoritmo , como el servicio de fax de Windows. Además, roba datos corporativos confidenciales y privados antes de cifrarlos. Al hacer esto, la banda de ransomware amenaza con liberar a la víctima si no se le paga. Para ejercer presión sobre el negocio, se sabe que la pandilla utiliza el enfoque de doble extorsión y filtra algunos archivos a la vez en línea.
El ataque en sí se lleva a cabo a través de una asociación con el malware QBot, lo que agiliza el proceso de ransomware para grupos como Black Basta, lo que permite un reconocimiento más fácil mientras se recopilan datos sobre el objetivo. Una vez que Black Basta ha realizado una cantidad adecuada de vigilancia, la pandilla apunta al controlador de dominio y se mueve lateralmente usando PsExec.
Luego, el adversario deshabilita Windows Defender y cualquier otro software antivirus mediante el uso de un objeto de política de grupo comprometido. Una vez que se ha deshabilitado cualquier software de defensa, Black Basta implementa el ransomware mediante un comando codificado de PowerShell que aprovecha el Instrumental de administración de Windows para enviar el ransomware a las direcciones IP especificadas por el grupo.
Cada archivo en la PC de la víctima se cifra y se le asigna la extensión de archivo “.basta” después de ser exfiltrado. El ransomware alterará el fondo del escritorio de la víctima para mostrar el siguiente mensaje como advertencia: “Su red fue encriptada por el grupo Black Basta. Instrucciones en el archivo readme.txt.” El enlace y la identificación individual necesarios para negociar el rescate estarán en este archivo de texto. Cabe destacar que este dirige a las víctimas a los sitios “Black Basta Blog” o “Basta News” alojados por la pandilla en la red Tor para asustar a la victima ya que estos sitios web muestran una lista de todas las víctimas de Black Basta que se negaron a hacer una restitución.
Ya que Black Basta apunta a empresas, no confíes en ningún archivo o enlace hasta que se haya verificado adecuadamente que es legítimo, las empresas y sus empleados pueden ahorrar una gran cantidad de tiempo y dolores de cabeza al hacer todo lo posible para evitar ser víctimas de esta amenaza.
