Black Basta Ransomware evoluciona con bombardeo de correos electrónicos, códigos QR y técnicas de ingeniería social

XPoint
Publicado el 09/12/2024

Los actores de amenazas vinculados al ransomware Black Basta han sido observados modificando sus tácticas de ingeniería social y distribuyendo nuevos tipos de cargas maliciosas, como Zbot y DarkGate, desde principios de octubre de 2024.

“Los usuarios dentro del entorno objetivo serán bombardeados con correos electrónicos por parte del actor de amenazas, lo cual suele lograrse inscribiendo la dirección de correo electrónico de la víctima en múltiples listas de distribución simultáneamente”, indicó Rapid7. “Después del bombardeo, el atacante se comunica directamente con los usuarios afectados”.

Como se observó en agosto pasado, los atacantes establecen contacto inicial con posibles objetivos a través de Microsoft Teams, haciéndose pasar por personal de soporte o del departamento de TI de la organización. En algunos casos, también se ha detectado que los atacantes suplantan a miembros reales del equipo de TI de la organización objetivo.

Los usuarios que interactúan con los actores de amenazas son presionados para instalar software legítimo de acceso remoto, como AnyDesk, ScreenConnect, TeamViewer o Quick Assist de Microsoft. La compañía Microsoft ha identificado al grupo criminal detrás del abuso de Quick Assist para desplegar Black Basta con el nombre Storm-1811.

 

Nuevas tácticas y herramientas

Rapid7 también detectó intentos del grupo de ransomware de utilizar el cliente OpenSSH para establecer un shell reverso. Además, los atacantes envían un código QR malicioso a las víctimas a través del chat, probablemente con el objetivo de robar credenciales bajo el pretexto de agregar un dispositivo móvil de confianza.

Por su parte, la empresa de ciberseguridad ReliaQuest, que también ha investigado esta campaña, sugiere que los códigos QR podrían estar redirigiendo a los usuarios a infraestructuras maliciosas adicionales.

El acceso remoto facilitado mediante la instalación de AnyDesk (o herramientas similares) permite a los atacantes entregar cargas adicionales al dispositivo comprometido. Estas incluyen un programa personalizado de robo de credenciales, seguido de la ejecución de Zbot (también conocido como ZLoader) o DarkGate, que sirven como puerta de entrada para ataques posteriores.

“El objetivo principal tras el acceso inicial parece ser el mismo: enumerar rápidamente el entorno y obtener las credenciales del usuario”, explicó Tyler McGraw, investigador de seguridad en Rapid7.

“Cuando es posible, los operadores también intentarán robar cualquier archivo de configuración de VPN disponible. Con las credenciales del usuario, la información de la VPN de la organización y una posible omisión de autenticación multifactor (MFA), podrían autenticarse directamente en el entorno objetivo”.

 

La evolución de Black Basta

Black Basta surgió como un grupo autónomo tras la disolución de Conti en 2022. Inicialmente, se apoyaban en QakBot para infiltrarse en sus objetivos, pero han diversificado sus técnicas hacia la ingeniería social. El grupo, también conocido como UNC4393, ha empleado varias familias de malware personalizadas para cumplir con sus objetivos, entre ellas:

KNOTWRAP: un cargador que opera únicamente en la memoria, escrito en C/C++, capaz de ejecutar cargas adicionales en la memoria.

KNOTROCK: una utilidad basada en .NET que se usa para ejecutar el ransomware.

DAWNCRY: un cargador en memoria que descifra un recurso incrustado con una clave codificada.

PORTYARD: un túnel que establece conexiones a un servidor de comando y control (C2) utilizando un protocolo binario personalizado sobre TCP.

COGSCAN: una herramienta de reconocimiento en .NET utilizada para enumerar los hosts disponibles en la red.

“La evolución en la distribución del malware de Black Basta muestra un cambio notable: de una estrategia puramente dependiente de botnets a un modelo híbrido que integra técnicas de ingeniería social”, comentó Yelisey Bohuslavskiy, de RedSense.

 

Otras campañas y variantes de ransomware

Este informe coincide con un análisis de Check Point, que identificó una variante actualizada del ransomware Akira, escrita en Rust. Los autores del malware han utilizado bibliotecas y módulos de terceros como indicatif, rust-crypto y seahorse para acelerar el desarrollo del código.

Por otro lado, se han reportado ataques con una variante del ransomware Mimic, conocida como Elpaco, y con infecciones de Rhysida, que utilizan CleanUpLoader para facilitar la exfiltración de datos y la persistencia. Este malware a menudo se disfraza como instaladores de software populares, como Microsoft Teams o Google Chrome.

“Al crear dominios falsos (typosquatting) que imitan sitios legítimos de descarga de software, Rhysida engaña a los usuarios para que descarguen archivos infectados”, explicó Recorded Future. “Esta técnica es especialmente efectiva cuando se combina con ataques de envenenamiento SEO, que posicionan estos dominios en los primeros resultados de búsqueda, haciéndolos parecer fuentes legítimas”.

 


English

Black Basta Ransomware Evolves with Email Bombing, QR Codes, and Social Engineering

The threat actors associated with the Black Basta ransomware have been observed evolving their social engineering tactics, deploying new payloads like Zbot and DarkGate since early October 2024.

“Users within targeted environments are email-bombed by the attackers, often achieved by subscribing the victim’s email address to numerous mailing lists simultaneously,” Rapid7 reported. “After the email flood, the attackers initiate direct contact with the affected users.”

As seen in August, attackers make initial contact with potential victims via Microsoft Teams, posing as support staff or IT personnel from the targeted organization. In some cases, they impersonate actual IT staff members.

Users who engage with the threat actors are urged to install legitimate remote access tools like AnyDesk, ScreenConnect, TeamViewer, or Microsoft’s Quick Assist. Microsoft tracks the group abusing Quick Assist for Black Basta deployment under the identifier Storm-1811.

 

New Tactics and Tools

Rapid7 also observed attempts by the ransomware group to use the OpenSSH client for reverse shell creation. Additionally, attackers send malicious QR codes through chats, likely to steal credentials under the guise of adding a trusted mobile device.

Cybersecurity firm ReliaQuest, which analyzed the same campaign, speculated that the QR codes might redirect victims to further malicious infrastructure.

Once remote access is established via tools like AnyDesk, the attackers deliver additional payloads, including custom credential-stealing software, followed by the execution of Zbot (aka ZLoader) or DarkGate, facilitating further attacks.

“The primary objective after gaining initial access remains the same: to quickly enumerate the environment and obtain user credentials,” said Tyler McGraw, Rapid7 security researcher.

“When possible, operators also attempt to steal any available VPN configuration files. Combined with user credentials, VPN information, and potential MFA bypass, attackers may directly authenticate into the target environment.”

 

Black Basta’s Evolution

Black Basta emerged as an independent group following the Conti ransomware’s shutdown in 2022. Initially relying on QakBot for infiltration, the group has shifted toward social engineering techniques. Known as UNC4393, the group employs custom malware families to achieve its goals, including:

KNOTWRAP: a memory-only dropper in C/C++ that executes payloads in memory.

KNOTROCK: a .NET-based utility to execute the ransomware.

DAWNCRY: a memory-only dropper that decrypts embedded resources with a hardcoded key.

PORTYARD: a tunneler that connects to a command-and-control server using a custom binary protocol over TCP.

COGSCAN: a .NET reconnaissance tool to enumerate hosts on the network.

“Black Basta’s evolution demonstrates a shift from pure botnet reliance to a hybrid model integrating social engineering,” said Yelisey Bohuslavskiy from RedSense.

 

Other Ransomware Campaigns

The findings align with a Check Point analysis of an updated Rust variant of the Akira ransomware, where malware developers leveraged third-party libraries like indicatif, rust-crypto, and seahorse.

Additionally, ransomware attacks featuring a Mimic variant called Elpaco and Rhysida infections have been observed. Rhysida uses CleanUpLoader for data exfiltration and persistence, often disguising malware as installers for popular software like Microsoft Teams or Google Chrome.

*“By creating typosquatted domains mimicking popular download sites, Rhysida tricks users into downloading infected files,”

Preguntas frecuentes

¿Qué es un Ransomware?

+

El ransomware, en informática, es un tipo de malware o código malicioso que impide la utilización de los equipos o sistemas que infecta. El ciberdelincuente toma control del equipo o sistema infectado y lo “secuestra” de varias maneras, cifrando la información, bloqueando la pantalla, etc.

¿Para que sirve el Pentesting?

+

El pentesting o Test de penetración, en español) es una técnica de ciberseguridad que consistente en atacar entornos informáticos con la intención de descubrir vulnerabilidades en los mismos, con el objetivo de reunir la información necesaria para poder prevenir en el futuro ataques externos hacia esos mismos …

¿Qué es y para qué la Seguridad en el Desarrollo Ágil?

+

El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:

  1. Protección temprana contra amenazas: Al abordar la seguridad desde el principio del ciclo de desarrollo, se pueden identificar y mitigar riesgos de seguridad antes de que se conviertan en problemas costosos o críticos en etapas posteriores del proyecto.
  2. Reducción de costos y tiempo: Corregir problemas de seguridad durante las etapas iniciales del desarrollo es más económico y rápido que hacerlo después de que el producto esté en producción. Esto puede ayudar a evitar retrasos en el lanzamiento del producto y ahorros significativos en costos asociados con la corrección de brechas de seguridad.
  3. Cumplimiento normativo: Muchas regulaciones y estándares de la industria requieren que los productos de software cumplan con ciertos requisitos de seguridad y protección de datos. Integrar la seguridad en el ciclo de desarrollo ayuda a garantizar el cumplimiento de estas regulaciones desde el principio, evitando posibles multas y sanciones legales.
  4. Confianza del cliente: La seguridad de los datos y la protección de la privacidad son preocupaciones importantes para los clientes. Al demostrar un compromiso con la seguridad a lo largo de todo el ciclo de desarrollo, las empresas pueden construir y mantener la confianza del cliente en sus productos y servicios.

En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.

¿Qué es el Phishing Ético?

+

El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.

Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/

¿Qué es un Red Team en Ciberseguridad?

+

Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.

¿Qué es la Gestión de Vulnerabilidades?

+

La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:

  1. Identificación de Vulnerabilidades
  2. Evaluación de Riesgos
  3. Priorización
  4. Mitigación y Solución
  5. Seguimiento Continuo
  6. Comunicación y Documentación
  7. Formación y Concienciación

La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.

¿Tienes dudas?, contáctanos