Tenga cuidado en su empresa, pues en Latinoamérica se han presentado nuevos ataques de ransomware, conocido como ‘secuestro de datos’ que utilizan herramientas de evasión EDR (Endpoint Detection and Response).

Particularmente, Black Basta, que ha utilizado técnicas capaces de deshabilitar sistemas de seguridad, obteniendo accesos privilegiados y camuflándose en el sistema.

Dicho descubrimiento fue realizado por investigadores de Sentinel Labs. Francisco Camargo, CEO de CLM, aseveró que los investigadores describieron las tácticas, técnicas y procedimientos operativos de Black Basta en un informe que muestra la seriedad de los estudios publicados en el espacio abierto.

Aseveró que “en su análisis, los investigadores encontraron que instala herramientas personalizadas, sus ataques usan una versión encubierta de ADFind y explotan las vulnerabilidades PrintNightmare, ZeroLogon y NoPac para escalar privilegios”.

Según el ejecutivo, los ciberdelincuentes inician sus ataques con un Qakbot, entregado por correo electrónico y documentos, que contienen macros, cuentagotas ISO+LNK y documentos .docx que explotan la vulnerabilidad de ejecución remota de código MSDTC, CVE-2022-30190.

Agregó que “después de utilizar meticulosas técnicas de piratería, incluida la de convertirse en el administrador del sistema con una contraseña propia, borran sus huellas”.

Varios métodos

El informe explica que Black Basta usa varios métodos para el movimiento lateral, implementando diferentes scripts, en lotes, a través de Psexec en diferentes máquinas, para automatizar la terminación de procesos y servicios y socavar las defensas.

El llamado ‘secuestro de datos’ también se implementó en varias máquinas a través de Psexec. En los análisis más recientes observó un archivo por lotes llamado SERVI.bat implementado a través de Psexec en todos los puntos finales de la infraestructura de destino.

Eliminar servicios

Dicho script, instalado por el atacante, tiene como objetivo eliminar servicios y procesos para maximizar el impacto de este robo de información y eliminar ciertas soluciones de seguridad.

Los expertos explican que el ransomware Black Basta surgió en abril de 2022 y ha invadido más de 90 organizaciones. La velocidad y el volumen de los ataques demuestran que los actores detrás de estos ataques están bien organizados y cuentan con los recursos necesarios.

Según los investigadores de Sentinel Labs, aún no ha habido indicios de que esté reclutando afiliados o promocionándose como RaaS (Ransomware as a Service) en foros de darknet o mercados de crimeware.

Esto ha llevado a mucha especulación sobre el origen, la identidad y el funcionamiento del grupo.

Conjunto de herramientas

Igualmente, las investigaciones indican que las personas detrás del ‘secuestro de datos’ desarrollan y mantienen su propio conjunto de herramientas y excluyen a los afiliados o solo colaboran con un conjunto limitado y confiable de afiliados, similar a otros grupos de ransomware “privados”, como Conti, TA505 y Evilcorp.

Según dio a conocer el experto, “a medida que logramos arrojar luz detrás de la escurridiza operación de ransomware Black Basta, no nos sorprendería encontrar una cara familiar detrás de esta ambiciosa operación”.

Agregó que “si bien hay muchas caras nuevas y diversas amenazas en el espacio del ‘secuestro de datos’ y la extorsión dual, se espera que los equipos criminales profesionales existentes den su propio giro para maximizar las ganancias ilícitas de nuevas maneras”, entre otros.