El nuevo ransomware Black Basta entra en acción con una docena de infracciones

Una nueva pandilla de ransomware conocida como Black Basta se catapultó rápidamente a la operación este mes, violando al menos doce compañías en solo unas pocas semanas.

Los primeros ataques conocidos de Black Basta ocurrieron en la segunda semana de abril, cuando la operación comenzó a atacar rápidamente a empresas de todo el mundo.

Si bien las demandas de rescate probablemente varíen entre las víctimas, BleepingComputer tiene conocimiento de una víctima que recibió una demanda de más de $ 2 millones de la pandilla Black Basta para descifrar archivos y no filtrar datos.

No se sabe mucho más sobre la nueva pandilla de ransomware, ya que no han comenzado a comercializar su operación ni a reclutar afiliados en foros de piratería.

Sin embargo, debido a su capacidad para acumular rápidamente nuevas víctimas y el estilo de sus negociaciones, es probable que esta no sea una operación nueva, sino más bien un cambio de marca de una pandilla de ransomware de primer nivel anterior que trajo consigo a sus afiliados.

Índice de contenidos
  1. Roba datos antes de cifrarlos
  2. Una inmersión más profunda en Black Basta
  3. Un probable cambio de marca

Roba datos antes de cifrarlos

Al igual que otras operaciones de ransomware dirigidas a empresas, Black Basta robará datos y documentos corporativos antes de cifrar los dispositivos de una empresa.

Estos datos robados luego se utilizan en ataques de doble extorsión, donde los actores de la amenaza exigen un rescate para recibir un descifrador y evitar la publicación de los datos robados de la víctima.

La parte de extorsión de datos de estos ataques se lleva a cabo en el sitio Tor 'Black Basta Blog' o 'Basta News', que contiene una lista de todas las víctimas que no han pagado un rescate. Black Basta filtrará lentamente los datos de cada víctima para tratar de presionarlos para que paguen un rescate.

Sitio de fuga de datos de Black Basta
Sitio de fuga de datos de Black Basta
Fuente: BleepingComputer

El sitio de fugas de datos de Black Basta actualmente contiene páginas de fugas de datos de diez empresas que violaron. Sin embargo, BleepingComputer sabe de otras víctimas que actualmente no figuran en el sitio de fuga de datos.

Su víctima más reciente en la lista es Deutsche Windtechnik, que sufrió un ciberataque el 11 de abril pero no había revelado que se trataba de un ataque de ransomware.

Ayer, el sitio de fuga de datos también comenzó a filtrar los datos de la Asociación Dental Estadounidense, que sufrió un ataque el 22 de abril, pero esa página se eliminó desde entonces. La eliminación de su página indica que la empresa está negociando con los actores de amenazas.

Una inmersión más profunda en Black Basta

BleepingComputer realizó un breve análisis del ransomware Black Basta a partir de muestras en línea.

Cuando se ejecuta, el cifrador Black Basta debe ejecutarse con privilegios administrativos o no cifrará los archivos. Una vez iniciado, el cifrador eliminará las instantáneas de volumen con el siguiente comando:

C:Windowssystem32cmd.exe /c C:WindowsSysNativevssadmin.exe delete shadows /all /quiet

Luego secuestrará un servicio de Windows existente y lo usará para iniciar el ejecutable del cifrador de ransomware. En nuestras pruebas, el servicio de Windows que fue secuestrado fue el servicio 'Fax', como se muestra a continuación.

Servicio de Windows de fax secuestrado utilizado para lanzar Black Basta
Servicio de Windows de fax secuestrado utilizado para lanzar Black Basta
Fuente: BleepingComputer

El ransomware también cambiará el fondo de pantalla para mostrar un mensaje que dice: "Su red está encriptada por el grupo Black Basta. Instrucciones en el archivo readme.txt".

Fondo de pantalla agregado por el cifrador Black Basta
Fondo de pantalla agregado por el cifrador Black Basta
Fuente: BleepingComputer

El ransomware ahora reiniciará la computadora en modo seguro con funciones de red, donde el servicio de Windows secuestrado se iniciará y automáticamente comenzará a cifrar los archivos en el dispositivo.

Experto en ransomware miguel gillespie, que analizó el proceso de encriptación de Black Basta, le dijo a BleepingComputer que utiliza el algoritmo ChaCha20 para encriptar archivos. Luego, la clave de cifrado ChaCha20 se cifra con una clave pública RSA-4096 incluida en el ejecutable.

Mientras cifra los archivos, el ransomware agregará el .suficiente extensión al nombre del archivo cifrado. Entonces, por ejemplo, test.jpg se cifraría y cambiaría de nombre a test.jpg.

Archivos encriptados Black Basta
Archivos encriptados Black Basta
Fuente: BleepingComputer

Para mostrar el ícono personalizado asociado con la extensión .basta, el ransomware creará una extensión personalizada en el Registro de Windows y asociará el ícono con un archivo ICO con nombre aleatorio en la carpeta %Temp%. Este ícono personalizado es muy similar al que usa la aplicación icy.tools.

Editor del Registro de Windows Versión 5.00

[HKEY_LOCAL_MACHINESOFTWAREClasses.basta]

[HKEY_LOCAL_MACHINESOFTWAREClasses.bastaDefaultIcon]
@ = "C: \ Windows \ TEMP \ fkdjsadasd.ico"

En cada carpeta del dispositivo cifrado, el ransomware creará un Léame.txt archivo que contiene información sobre el ataque y un enlace y una identificación única requerida para iniciar sesión en su sesión de chat de negociación.

Notas de rescate de Black Basta
Nota de rescate de Basta negra
Fuente: BleepingComputer

El sitio de negociación de Tor se titula 'Chat Black Basta' y solo incluye una pantalla de inicio de sesión y un chat web que se puede usar para negociar con los actores de amenazas.

Los actores de amenazas usan esta pantalla para emitir un mensaje de bienvenida que contiene una demanda de rescate, una amenaza de que se filtrarán datos si no se realiza el pago en siete días y la promesa de un informe de seguridad después de que se pague un rescate.

Sitio de negociación Black Basta Tor
Sitio de negociación Black Basta Tor
Fuente: BleepingComputer

Desafortunadamente, Gillespie dice que el algoritmo de cifrado es seguro y que no hay forma de recuperar archivos de forma gratuita.

Un probable cambio de marca

Según la rapidez con la que Black Basta acumuló víctimas y el estilo de sus negociaciones, es muy probable que se trate de un cambio de marca de una operación experimentada.

Una teoría discutida entre el investigador de seguridad MalwareHunterTeam y este autor es que Black Basta es posiblemente un próximo cambio de marca de la operación de ransomware Conti.

Conti ha estado bajo un intenso escrutinio durante los últimos dos meses después de que un investigador ucraniano filtrara un tesoro de conversaciones privadas y el código fuente del ransomware.

Debido a esto, se ha especulado que Conti cambiaría el nombre de su operación para evadir la aplicación de la ley y comenzar de nuevo con un nombre diferente.

Si bien el cifrador Black Basta es muy diferente al de Conti, MalwareHunterEquipo cree que existen numerosas similitudes en su estilo de negociación y diseño de sitios web.

Tuit del MalwareHunterTeam

Además, Black Basta publicó los datos de una nueva víctima después de que se filtrara una captura de pantalla de la negociación.

Este "castigo" es el mismo que introdujo Conti para frenar la marea de negociaciones que se filtraba en Twitter.

Si bien estas conexiones son tenues, la pandilla Black Basta debe ser monitoreada de cerca, ya que acaban de comenzar su operación.

¿Qué te ha parecido?
Subir
DiarioInforme utiliza cookies    Configurar y más información
Privacidad