Expertos en ciberseguridad advierten sobre la amenaza emergente del ransomware “Black Basta”

El sindicato Black Basta ransomware-as-a-service (RaaS) ha acumulado casi 50 víctimas en los EE. UU., Canadá, el Reino Unido, Australia y Nueva Zelanda en los dos meses posteriores a su aparición en la naturaleza, lo que lo convierte en una amenaza prominente en un ventana corta.

"Se ha observado que Black Basta apunta a una variedad de industrias, incluidas la fabricación, la construcción, el transporte, las empresas de telecomunicaciones, los productos farmacéuticos, los cosméticos, la plomería y la calefacción, los concesionarios de automóviles, los fabricantes de ropa interior y más", dijo Cybereason en un informe.

Al igual que otras operaciones de ransomware, se sabe que Black Basta emplea la táctica comprobada de doble extorsión para robar información confidencial de los objetivos y amenazar con publicar los datos robados a menos que se realice un pago digital.

Un nuevo participante en el ya abarrotado panorama de ransomware, las intrusiones que involucran la amenaza han aprovechado QBot (también conocido como Qakbot ) como un conducto para mantener la persistencia en los hosts comprometidos y recolectar credenciales, antes de moverse lateralmente a través de la red e implementar el malware de cifrado de archivos.

Además, los actores detrás de Black Basta han desarrollado una variante de Linux diseñada para atacar las máquinas virtuales (VM) VMware ESXi que se ejecutan en servidores empresariales, poniéndolo a la par con otros grupos como LockBit, Hive y Cheerscrypt.

Los hallazgos se producen cuando el sindicato ciberdelincuente agregó Elbit Systems of America, un fabricante de soluciones de defensa, aeroespaciales y de seguridad, a la lista de sus víctimas durante el fin de semana, según el investigador de seguridad Ido Cohen.

Se dice que Black Basta está compuesto por miembros pertenecientes al grupo Conti después de que este último cerrara sus operaciones en respuesta a un mayor escrutinio policial y una filtración importante que vio sus herramientas y tácticas pasar al dominio público después de ponerse del lado de Rusia en la guerra del país contra Ucrania.

cmd

“No puedo dispararle a nada, pero puedo pelear con un teclado y un mouse”, dijo a CNN en marzo de 2022 el especialista informático ucraniano detrás de la filtración, que usa el seudónimo de Danylo y lanzó el tesoro de datos como una forma de retribución digital . .

Desde entonces, el equipo de Conti ha refutado que está asociado con Black Basta. La semana pasada, desmanteló lo último de su infraestructura pública restante, incluidos dos servidores Tor utilizados para filtrar datos y negociar con las víctimas, lo que marca el final oficial de la empresa criminal.

Mientras tanto, el grupo continuó manteniendo la fachada de una operación activa apuntando al gobierno de Costa Rica , mientras que algunos miembros hicieron la transición a otros equipos de ransomware y la marca experimentó una renovación organizacional que la ha llevado a dividirse en subgrupos más pequeños con diferentes motivaciones y negocios. modelos que van desde el robo de datos hasta el trabajo como afiliados independientes.

Según un informe completo de Group-IB que detalla sus actividades, se cree que el grupo Conti ha victimizado a más de 850 entidades desde que se observó por primera vez en febrero de 2020, comprometiendo a más de 40 organizaciones en todo el mundo como parte de una ola de piratería "rápida como un rayo". que duró del 17 de noviembre al 20 de diciembre de 2021.

Apodado " ARMattack " por la empresa con sede en Singapur, las intrusiones se dirigieron principalmente contra organizaciones estadounidenses (37 %), seguidas de Alemania (3 %), Suiza (2 %), los Emiratos Árabes Unidos (2 %), los Países Bajos, España, Francia, República Checa, Suecia, Dinamarca e India (1% cada uno).

chart

Los cinco principales sectores a los que históricamente se ha dirigido Conti han sido la fabricación (14 %), el sector inmobiliario (11,1 %), la logística (8,2 %), los servicios profesionales (7,1 %) y el comercio (5,5 %), y los operadores destacan específicamente a las empresas. en EE. UU. (58,4 %), Canadá (7 %), Reino Unido (6,6 %), Alemania (5,8 %), Francia (3,9 %) e Italia (3,1 %).

map

"El aumento de la actividad de Conti y la fuga de datos sugieren que el ransomware ya no es un juego entre desarrolladores de malware promedio, sino una industria RaaS ilícita que da trabajo a cientos de ciberdelincuentes en todo el mundo con diversas especializaciones", dijo Ivan Pisarev de Group-IB.

"En esta industria, Conti es un jugador notorio que de hecho ha creado una 'compañía de TI' cuyo objetivo es extorsionar grandes sumas. Está claro [...] que el grupo continuará sus operaciones, ya sea solo o con la ayuda de sus proyectos 'subsidiarios'".

 

Fuente: Thehackernews

Comments are closed.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies