La operación Black Basta Ransomware-as-a-Service (RaaS) se ha dirigido a más de 500 entidades de la industria privada y de infraestructura crítica en América del Norte, Europa y Australia desde su aparición en abril de 2022.
En un aviso conjunto publicado por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Oficina Federal de Investigaciones (FBI), el Departamento de Salud y Servicios Humanos (HHS) y el Centro de Análisis e Intercambio de Información Multiestatal (MS-ISAC), las agencias dijeron que los actores de amenazas cifraron y robaron datos de al menos 12 de 16 sectores de infraestructura críticos.
"Los afiliados de Black Basta utilizan técnicas comunes de acceso inicial, como el phishing y la explotación de vulnerabilidades conocidas, y luego emplean un modelo de doble extorsión, cifrando sistemas y exfiltrando datos", dice el boletín [PDF].
A diferencia de otros grupos de ransomware, las notas de rescate que se arrojan al final del ataque no contienen una demanda de rescate inicial ni instrucciones de pago. Más bien, las notas proporcionan a las víctimas un código único y les indican que se comuniquen con la pandilla a través de una URL .onion.
Black Basta fue observado por primera vez en estado salvaje en abril de 2022 utilizando QakBot como vector inicial y ha seguido siendo un actor de ransomware muy activo desde entonces.
Las estadísticas recopiladas por Malwarebytes muestran que el grupo ha estado vinculado a 28 de los 373 ataques de ransomware confirmados que tuvieron lugar en abril de 2024. Según Kaspersky, fue la duodécima familia más activa en 2023. Black Basta también ha sido testigo de un aumento de actividad en Primer trimestre de 2024, con un aumento intertrimestral del 41%.
Hay pruebas que sugieren que los operadores de Black Basta tienen vínculos con otro grupo de delitos cibernéticos rastreado como FIN7, que ha pasado a realizar ataques de ransomware desde 2020.
Las cadenas de ataques que involucran al ransomware se han basado en herramientas como el escáner de red SoftPerfect para escaneo de red, BITSAdmin, balizas Cobalt Strike, ConnectWise ScreenConnect y PsExec para movimiento lateral, Mimikatz para escalada de privilegios y RClone para filtración de datos antes del cifrado.
Otros métodos utilizados para obtener privilegios elevados incluyen la explotación de fallas de seguridad como >ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278 and CVE-2021-42287), y PrintNightmare (CVE-2021-34527).
Algunos casos también han implicado la implementación de una herramienta llamada Backstab para deshabilitar el software de detección y respuesta de puntos finales (EDR). Vale la pena señalar que Backstab también ha sido empleado por afiliados de LockBit en el pasado.
El último paso es el cifrado de archivos utilizando un algoritmo ChaCha20 con una clave pública RSA-4096, no sin antes eliminar las instantáneas de volumen a través del programa vssadmin.exe para inhibir la recuperación del sistema.
"Las organizaciones de atención médica son objetivos atractivos para los ciberdelincuentes debido a su tamaño, dependencia tecnológica, acceso a información de salud personal y los impactos únicos de las interrupciones en la atención al paciente", dijeron las agencias.
El desarrollo se produce cuando una campaña de ransomware CACTUS continúa explotando fallas de seguridad en una plataforma de análisis en la nube e inteligencia empresarial llamada Qlik Sense para obtener acceso inicial a los entornos de destino.
Un nuevo análisis realizado por el equipo Fox-IT de NCC Group ha revelado que 3143 servidores todavía están en riesgo de CVE-2023-48365 (también conocido como DoubleQlik), y la mayoría de ellos están ubicados en EE. UU., Italia, Brasil, Países Bajos y Alemania. de 17 de abril de 2024.
El panorama del ransomware se encuentra en un estado de cambio, registrando una disminución del 18% en la actividad en el primer trimestre de 2024 en comparación con el trimestre anterior, liderada principalmente por operaciones policiales contra ALPHV (también conocido como BlackCat) y LockBit.
Dado que LockBit sufre importantes reveses de reputación entre sus afiliados, se sospecha que lo más probable es que el grupo intente cambiar su marca. "El grupo de ransomware DarkVault es un posible grupo sucesor de LockBit", dijo la firma de ciberseguridad ReliaQuest, citando similitudes con la marca LockBit.
Algunos de los otros nuevos grupos de ransomware que aparecieron en las últimas semanas incluyen APT73, DoNex, DragonForce, Hunt (a Dharma/Crysis ransomware variant), KageNoHitobito, Megazord, Qiulong, Rincrypt, y Shinra.
La "diversificación" de las cepas de ransomware y "la capacidad de adaptarse rápidamente y cambiar de marca frente a la adversidad habla de la naturaleza dinámica y resiliente de los actores de amenazas en el ecosistema de ransomware", dijo la firma de análisis blockchain Chainalysis, destacando una disminución del 46% en los pagos de rescate. en 2023.
Esto lo corroboran los hallazgos de Coveware, propiedad de Veeam, que dijo que la proporción de víctimas que optaron por pagar alcanzó un nuevo mínimo histórico del 28% en el primer trimestre de 2024. El pago de rescate promedio para el período fue de $381,980, una caída del 32% desde Cuarto trimestre de 2023.
Según el informe Sophos State of Ransomware 2024 publicado a finales del mes pasado, en el que se encuestó a 5.000 organizaciones en todo el mundo, un número considerable de víctimas se negó a pagar la cantidad inicial exigida.
"1.097 encuestados cuya organización pagó el rescate compartieron la suma real pagada, lo que revela que el pago promedio (mediano) se ha multiplicado por cinco durante el último año, de 400.000 dólares a 2 millones de dólares", dijo la compañía.
"Si bien la tasa de pago del rescate ha aumentado, sólo el 24% de los encuestados dice que su pago coincidió con la solicitud original. El 44% pagó menos que la demanda original, mientras que el 31% pagó más".
Acceso al último informe de CISA sobre Black Basta.
Fuente: THN