Una operación de ransomware como servicio (RaaS) conocida como Black Basta ha impactado a más de 500 entidades en América del Norte, Europa y Australia desde su emergencia en abril de 2022.
En un comunicado conjunto publicado por la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA), el Buró Federal de Investigaciones (FBI), el Departamento de Salud y Servicios Humanos (HHS) y el Centro Multiestatal de Información y Análisis (MS-ISAC), se informó que los actores de amenazas encriptaron y robaron datos de al menos 12 de los 16 sectores de infraestructuras críticas.’
‘Los asociados de Black Basta utilizan tácticas comunes de acceso inicial, como phishing y explotación de vulnerabilidades conocidas, y luego aplican un modelo de doble extorsión, encriptando sistemas y exfiltrando datos‘, decía el informe.
A diferencia de otros grupos de ransomware, las notas de rescate al final del ataque no incluyen una demanda inicial de rescate o instrucciones de pago. En su lugar, las notas brindan a las víctimas un código único y les instruyen a contactar a la banda a través de una URL .onion.
Black Basta apareció por primera vez en abril de 2022 utilizando QakBot como vector inicial, y ha continuado siendo un actor de ransomware muy activo.
Estadísticas recopiladas por Malwarebytes muestran que el grupo ha estado relacionado con 28 de los 373 ataques de ransomware confirmados en abril de 2024. Según Kaspersky, fue la 12ª familia más activa en 2023. Black Basta también ha experimentado un aumento de actividad en el primer trimestre de 2024, con un incremento del 41% en comparación con el trimestre anterior.
Se ha encontrado evidencia que sugiere que los operadores de Black Basta tienen vínculos con otro grupo de cibercriminales conocido como FIN7, que ha cambiado a realizar ataques de ransomware desde 2020.
Las cadenas de ataque que involucran el ransomware han dependido de herramientas como el escáner de red SoftPerfect para escaneo de red, BITSAdmin, beacons de Cobalt Strike, ConnectWise ScreenConnect y PsExec para movimiento lateral, Mimikatz para escalada de privilegios y RClone para exfiltración de datos antes de la encriptación.
Otros métodos utilizados para obtener privilegios elevados incluyen la explotación de fallas de seguridad como ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278 y CVE-2021-42287), y PrintNightmare (CVE-2021-34527).
Algunas instancias también han implicado el despliegue de una herramienta llamada Backstab para deshabilitar el software de detección y respuesta de puntos finales (EDR), que también ha sido utilizado por afiliados de LockBit en el pasado.
El proceso final implica la encriptación de archivos utilizando un algoritmo ChaCha20 con una clave pública RSA-4096, pero no antes de eliminar las copias de seguridad de volumen a través del programa vssadmin.exe para inhibir la recuperación del sistema.’
‘Las organizaciones de atención médica son atractivas para los ciberdelincuentes debido a su tamaño, dependencia tecnológica, acceso a información personal de salud e impacto único por interrupciones en la atención al paciente’, comentaron las agencias.
Este desarrollo ocurre mientras una campaña de ransomware llamada CACTUS continúa explotando fallas de seguridad en la plataforma de análisis en la nube y inteligencia empresarial Qlik Sense para obtener acceso inicial a objetivos.
Un nuevo análisis del equipo Fox-IT de NCC Group reveló que todavía hay 3.143 servidores en riesgo de CVE-2023-48365 (ak DoubleQlik), la mayoría de ellos ubicados en EE. UU., Italia, Brasil, Países Bajos y Alemania a partir del 17 de abril de 2024.
El panorama del ransomware está en un estado de cambio, registrando una disminución del 18% en la actividad en el primer trimestre de 2024 en comparación con el trimestre anterior, liderado principalmente por operaciones policiales contra ALPHV (también conocido como BlackCat) y LockBit.
Con LockBit sufriendo importantes contratiempos en su reputación entre los afiliados, se sospecha que el grupo intentará probablemente cambiar de marca. «El grupo de ransomware DarkVault es un posible sucesor de LockBit«, dijo la firma de ciberseguridad ReliaQuest, citando similitudes con la marca de LockBit.’
Algunos de los otros nuevos grupos de ransomware que hicieron su aparición en las últimas semanas son APT73, DoNex, DragonForce, Hunt (una variante de ransomware Dharma/Crysis), KageNoHitobito, Megazord, Qiulong, Rincrypt y Shinra.
La «diversificación» de las cepas de ransomware y «la capacidad de adaptarse rápidamente y cambiar de marca frente a la adversidad habla de la naturaleza dinámica y resistente de los actores de amenazas en el ecosistema de ransomware», dijo la firma de análisis de blockchain Chainalysis, resaltando una disminución del 46% en los pagos de rescate en 2023.’
Esto se corrobora con hallazgos de Coveware, propiedad de Veeam, que dijo que la proporción de víctimas que optaron por pagar tocó un nuevo récord bajo del 28% en el primer trimestre de 2024. El pago promedio de rescate para el período de tiempo se situó en $381.980, un descenso del 32% respecto al cuarto trimestre de 2023.
La baja ha sido complementada por el aumento en la negativa de las víctimas a pagar la cantidad inicial exigida, según una encuesta global de 5.000 organizaciones realizada como parte del informe Sophos State of Ransomware 2024 publicado el mes pasado.
«1.097 encuestados cuya organización pagó el rescate compartieron la suma real pagada, revelando que el pago promedio (mediano) ha aumentado 5 veces en el último año, de $400.000 a $2 millones», dijo la empresa.
«Mientras que la tasa de pago de rescates ha aumentado, solo el 24% de los encuestados dicen que su pago coincidió con la solicitud original. El 44% pagó menos de la demanda original, mientras que el 31% pagó más».
Vía The Hacker News
