Los actores de amenazas vinculados al ransomware Black Basta han sido observados modificando sus tácticas de ingeniería social y distribuyendo nuevos tipos de cargas maliciosas, como Zbot y DarkGate, desde principios de octubre de 2024.
“Los usuarios dentro del entorno objetivo serán bombardeados con correos electrónicos por parte del actor de amenazas, lo cual suele lograrse inscribiendo la dirección de correo electrónico de la víctima en múltiples listas de distribución simultáneamente”, indicó Rapid7. “Después del bombardeo, el atacante se comunica directamente con los usuarios afectados”.
Como se observó en agosto pasado, los atacantes establecen contacto inicial con posibles objetivos a través de Microsoft Teams, haciéndose pasar por personal de soporte o del departamento de TI de la organización. En algunos casos, también se ha detectado que los atacantes suplantan a miembros reales del equipo de TI de la organización objetivo.
Los usuarios que interactúan con los actores de amenazas son presionados para instalar software legítimo de acceso remoto, como AnyDesk, ScreenConnect, TeamViewer o Quick Assist de Microsoft. La compañía Microsoft ha identificado al grupo criminal detrás del abuso de Quick Assist para desplegar Black Basta con el nombre Storm-1811.
Rapid7 también detectó intentos del grupo de ransomware de utilizar el cliente OpenSSH para establecer un shell reverso. Además, los atacantes envían un código QR malicioso a las víctimas a través del chat, probablemente con el objetivo de robar credenciales bajo el pretexto de agregar un dispositivo móvil de confianza.
Por su parte, la empresa de ciberseguridad ReliaQuest, que también ha investigado esta campaña, sugiere que los códigos QR podrían estar redirigiendo a los usuarios a infraestructuras maliciosas adicionales.
El acceso remoto facilitado mediante la instalación de AnyDesk (o herramientas similares) permite a los atacantes entregar cargas adicionales al dispositivo comprometido. Estas incluyen un programa personalizado de robo de credenciales, seguido de la ejecución de Zbot (también conocido como ZLoader) o DarkGate, que sirven como puerta de entrada para ataques posteriores.
“El objetivo principal tras el acceso inicial parece ser el mismo: enumerar rápidamente el entorno y obtener las credenciales del usuario”, explicó Tyler McGraw, investigador de seguridad en Rapid7.
“Cuando es posible, los operadores también intentarán robar cualquier archivo de configuración de VPN disponible. Con las credenciales del usuario, la información de la VPN de la organización y una posible omisión de autenticación multifactor (MFA), podrían autenticarse directamente en el entorno objetivo”.
Black Basta surgió como un grupo autónomo tras la disolución de Conti en 2022. Inicialmente, se apoyaban en QakBot para infiltrarse en sus objetivos, pero han diversificado sus técnicas hacia la ingeniería social. El grupo, también conocido como UNC4393, ha empleado varias familias de malware personalizadas para cumplir con sus objetivos, entre ellas:
•KNOTWRAP: un cargador que opera únicamente en la memoria, escrito en C/C++, capaz de ejecutar cargas adicionales en la memoria.
•KNOTROCK: una utilidad basada en .NET que se usa para ejecutar el ransomware.
•DAWNCRY: un cargador en memoria que descifra un recurso incrustado con una clave codificada.
•PORTYARD: un túnel que establece conexiones a un servidor de comando y control (C2) utilizando un protocolo binario personalizado sobre TCP.
•COGSCAN: una herramienta de reconocimiento en .NET utilizada para enumerar los hosts disponibles en la red.
“La evolución en la distribución del malware de Black Basta muestra un cambio notable: de una estrategia puramente dependiente de botnets a un modelo híbrido que integra técnicas de ingeniería social”, comentó Yelisey Bohuslavskiy, de RedSense.
Este informe coincide con un análisis de Check Point, que identificó una variante actualizada del ransomware Akira, escrita en Rust. Los autores del malware han utilizado bibliotecas y módulos de terceros como indicatif, rust-crypto y seahorse para acelerar el desarrollo del código.
Por otro lado, se han reportado ataques con una variante del ransomware Mimic, conocida como Elpaco, y con infecciones de Rhysida, que utilizan CleanUpLoader para facilitar la exfiltración de datos y la persistencia. Este malware a menudo se disfraza como instaladores de software populares, como Microsoft Teams o Google Chrome.
“Al crear dominios falsos (typosquatting) que imitan sitios legítimos de descarga de software, Rhysida engaña a los usuarios para que descarguen archivos infectados”, explicó Recorded Future. “Esta técnica es especialmente efectiva cuando se combina con ataques de envenenamiento SEO, que posicionan estos dominios en los primeros resultados de búsqueda, haciéndolos parecer fuentes legítimas”.
English
The threat actors associated with the Black Basta ransomware have been observed evolving their social engineering tactics, deploying new payloads like Zbot and DarkGate since early October 2024.
“Users within targeted environments are email-bombed by the attackers, often achieved by subscribing the victim’s email address to numerous mailing lists simultaneously,” Rapid7 reported. “After the email flood, the attackers initiate direct contact with the affected users.”
As seen in August, attackers make initial contact with potential victims via Microsoft Teams, posing as support staff or IT personnel from the targeted organization. In some cases, they impersonate actual IT staff members.
Users who engage with the threat actors are urged to install legitimate remote access tools like AnyDesk, ScreenConnect, TeamViewer, or Microsoft’s Quick Assist. Microsoft tracks the group abusing Quick Assist for Black Basta deployment under the identifier Storm-1811.
Rapid7 also observed attempts by the ransomware group to use the OpenSSH client for reverse shell creation. Additionally, attackers send malicious QR codes through chats, likely to steal credentials under the guise of adding a trusted mobile device.
Cybersecurity firm ReliaQuest, which analyzed the same campaign, speculated that the QR codes might redirect victims to further malicious infrastructure.
Once remote access is established via tools like AnyDesk, the attackers deliver additional payloads, including custom credential-stealing software, followed by the execution of Zbot (aka ZLoader) or DarkGate, facilitating further attacks.
“The primary objective after gaining initial access remains the same: to quickly enumerate the environment and obtain user credentials,” said Tyler McGraw, Rapid7 security researcher.
“When possible, operators also attempt to steal any available VPN configuration files. Combined with user credentials, VPN information, and potential MFA bypass, attackers may directly authenticate into the target environment.”
Black Basta emerged as an independent group following the Conti ransomware’s shutdown in 2022. Initially relying on QakBot for infiltration, the group has shifted toward social engineering techniques. Known as UNC4393, the group employs custom malware families to achieve its goals, including:
•KNOTWRAP: a memory-only dropper in C/C++ that executes payloads in memory.
•KNOTROCK: a .NET-based utility to execute the ransomware.
•DAWNCRY: a memory-only dropper that decrypts embedded resources with a hardcoded key.
•PORTYARD: a tunneler that connects to a command-and-control server using a custom binary protocol over TCP.
•COGSCAN: a .NET reconnaissance tool to enumerate hosts on the network.
“Black Basta’s evolution demonstrates a shift from pure botnet reliance to a hybrid model integrating social engineering,” said Yelisey Bohuslavskiy from RedSense.
The findings align with a Check Point analysis of an updated Rust variant of the Akira ransomware, where malware developers leveraged third-party libraries like indicatif, rust-crypto, and seahorse.
Additionally, ransomware attacks featuring a Mimic variant called Elpaco and Rhysida infections have been observed. Rhysida uses CleanUpLoader for data exfiltration and persistence, often disguising malware as installers for popular software like Microsoft Teams or Google Chrome.
*“By creating typosquatted domains mimicking popular download sites, Rhysida tricks users into downloading infected files,”
El ransomware, en informática, es un tipo de malware o código malicioso que impide la utilización de los equipos o sistemas que infecta. El ciberdelincuente toma control del equipo o sistema infectado y lo “secuestra” de varias maneras, cifrando la información, bloqueando la pantalla, etc.
El pentesting o Test de penetración, en español) es una técnica de ciberseguridad que consistente en atacar entornos informáticos con la intención de descubrir vulnerabilidades en los mismos, con el objetivo de reunir la información necesaria para poder prevenir en el futuro ataques externos hacia esos mismos …
El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:
En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.
El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.
Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/
Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.
La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:
La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.