Ciberseguridad

Ojo: que el ‘secuestro de datos’ no afecte los sistemas de seguridad de su empresa

Black Basta ha utilizado técnicas capaces de deshabilitar los sistemas, obteniendo accesos privilegiados y camuflándose en el sistema.

29 de diciembre de 2022
Lo que debe tener en cuenta si no quiere ser víctima de ransomware.
Los ciberdelincuentes inician sus ataques con un Qakbot, entregado por correo electrónico y documentos, que contienen macros, cuentagotas ISO+LNK y documentos .docx que explotan la vulnerabilidad de ejecución remota. | Foto: Getty Images/iStockphoto

Tenga cuidado en su empresa, pues en Latinoamérica se han presentado nuevos ataques de ransomware, conocido como ‘secuestro de datos’ que utilizan herramientas de evasión EDR (Endpoint Detection and Response).

Particularmente, Black Basta, que ha utilizado técnicas capaces de deshabilitar sistemas de seguridad, obteniendo accesos privilegiados y camuflándose en el sistema.

Dicho descubrimiento fue realizado por investigadores de Sentinel Labs. Francisco Camargo, CEO de CLM, aseveró que los investigadores describieron las tácticas, técnicas y procedimientos operativos de Black Basta en un informe que muestra la seriedad de los estudios publicados en el espacio abierto.

Aseveró que “en su análisis, los investigadores encontraron que instala herramientas personalizadas, sus ataques usan una versión encubierta de ADFind y explotan las vulnerabilidades PrintNightmare, ZeroLogon y NoPac para escalar privilegios”.

Según el ejecutivo, los ciberdelincuentes inician sus ataques con un Qakbot, entregado por correo electrónico y documentos, que contienen macros, cuentagotas ISO+LNK y documentos .docx que explotan la vulnerabilidad de ejecución remota de código MSDTC, CVE-2022-30190.

Agregó que “después de utilizar meticulosas técnicas de piratería, incluida la de convertirse en el administrador del sistema con una contraseña propia, borran sus huellas”.

Varios métodos

El llamado ‘secuestro de datos’ también se implementó en varias máquinas a través de Psexec. En los análisis más recientes observó un archivo por lotes llamado SERVI.bat implementado a través de Psexec en todos los puntos finales de la infraestructura de destino.

Eliminar servicios

Dicho script, instalado por el atacante, tiene como objetivo eliminar servicios y procesos para maximizar el impacto de este robo de información y eliminar ciertas soluciones de seguridad.

Los expertos explican que el ransomware Black Basta surgió en abril de 2022 y ha invadido más de 90 organizaciones. La velocidad y el volumen de los ataques demuestran que los actores detrás de estos ataques están bien organizados y cuentan con los recursos necesarios.

Esto ha llevado a mucha especulación sobre el origen, la identidad y el funcionamiento del grupo.

Conjunto de herramientas

Igualmente, las investigaciones indican que las personas detrás del ‘secuestro de datos’ desarrollan y mantienen su propio conjunto de herramientas y excluyen a los afiliados o solo colaboran con un conjunto limitado y confiable de afiliados, similar a otros grupos de ransomware “privados”, como Conti, TA505 y Evilcorp.

Según dio a conocer el experto, “a medida que logramos arrojar luz detrás de la escurridiza operación de ransomware Black Basta, no nos sorprendería encontrar una cara familiar detrás de esta ambiciosa operación”.

Agregó que “si bien hay muchas caras nuevas y diversas amenazas en el espacio del ‘secuestro de datos’ y la extorsión dual, se espera que los equipos criminales profesionales existentes den su propio giro para maximizar las ganancias ilícitas de nuevas maneras”, entre otros.