Detección de Actividad de Black Basta: FBI, CISA y Socios Alertan sobre el Incremento de Ataques de Ransomware que Apuntan a Sectores de Infraestructura Crítica, Incluido el de la Salud
Tabla de contenidos:
A partir de mayo de 2024, los nefarios operadores de ransomware Black Basta han violado más de 500 organizaciones globales. En respuesta a las amenazas crecientes, las principales agencias de ciberseguridad de EE.UU. y globales han emitido una asesoría conjunta de ciberseguridad advirtiendo a los defensores sobre la creciente actividad del grupo, que ya ha afectado a docenas de organizaciones de infraestructura crítica, incluyendo el sector sanitario.
Detección de Infecciones de Ransomware Black Basta
Con más de 300 millones de intentos de ataques de ransomware detectados solo en 2023, la amenaza del ransomware sigue siendo uno de los principales desafíos para los defensores cibernéticos. Aunque Black Basta RaaS es un actor relativamente nuevo en el ámbito cibernético, el colectivo malicioso ha impactado a cientos de organizaciones de alto perfil en todo el mundo, buscando ganancias financieras.
Para mantenerse proactivos y detectar posibles ataques en las primeras etapas de desarrollo, los profesionales de seguridad podrían explorar la última alerta de CSA que detalla los TTP y herramientas de Black Basta. Además, los profesionales de la ciberseguridad podrían confiar en la Plataforma SOC Prime para la defensa cibernética colectiva que ofrece un conjunto de reglas Sigma seleccionadas que abordan los métodos de ataque descritos en la asesoría AA24-131A. Solo presione el botón Explorar Detecciones e inmediatamente profundice en un stack de detección relevante.
Todas las reglas son compatibles con más de 30 tecnologías SIEM, EDR y Data Lake y están mapeadas al marco MITRE ATT&CK® v14.1. Además, las detecciones están enriquecidas con extenso metadatos, incluidos enlaces CTI, referencias de ATT&CK, líneas de tiempo de ataque y más.
Los profesionales de seguridad que buscan contexto adicional sobre los TTP de Black Basta y desean analizar retrospectivamente los ataques pueden buscar más reglas Sigma relacionadas en el Mercado de Detección de Amenazas utilizando la etiqueta “Black Basta”.
Análisis del Ataque de Ransomware Black Basta
Los actores de amenaza de Black Basta han estado en el foco de atención desde al menos la primavera de 2022 operando como RaaS y apuntando principalmente a numerosas empresas y organizaciones de infraestructura crítica en América del Norte, Europa y Australia. Según la Asesoría Conjunta de Ciberseguridad AA24-131A, durante un período de 2 años de actividad adversaria activa, el grupo ha afectado a más de 500 organizaciones de todo el mundo, lo que subraya la necesidad de una mayor conciencia de ciberseguridad y medidas defensivas proactivas.
FBI, CISA y socios han compartido conocimientos sobre los ataques de ransomware en curso, con al menos una docena de entidades de infraestructura crítica expuestas a la encriptación y exfiltración de datos por adversarios, incluyendo el sector sanitario.
Para el acceso inicial, Black Basta comúnmente aprovecha el phishing y utiliza fallas de seguridad conocidas. Además, los adversarios emplean un enfoque de doble extorsión, que implica tanto la encriptación de sistemas como la extracción de datos. En lugar de enviar la demanda inicial de rescate o las pautas de pago, Black Basta proporciona a las víctimas un código único y les insta a ponerse en contacto con el grupo de ransomware a través de una URL personalizada accesible a través del navegador Tor.
Para propósitos de escaneo de red, Black Basta emplea herramientas como SoftPerfect (netscan.exe) ypara procedimientos de reconocimiento, los adversarios comúnmente aprovechan utilidades con nombres de archivos aparentemente inofensivos, como Intel o Dell.
Para moverse lateralmente a través de redes expuestas, los afiliados de Black Basta dependen de utilidades como BITSAdmin, PsExec y RDP. También pueden aprovechar Splashtop, ScreenConnect, y balizas Cobalt Strike para acceso remoto. Para la escalada de privilegios, Black Basta utiliza utilidades de raspado de credenciales como Mimikatz y también puede aprovechar la explotación de vulnerabilidades, por ejemplo, abusando de ZeroLogon, CVE-2021-42287, o fallas de seguridad conocidas como PrintNightmare.
El grupo de ransomware Black Basta utiliza RClone para robar datos de sistemas comprometidos. Antes de la exfiltración de datos, tienden a evadir la detección mediante PowerShell y la utilidad Backstab. Luego encriptan archivos utilizando el algoritmo ChaCha20 con una clave pública RSA-4096, agregan una extensión de archivo aleatoria y dejan una nota de rescate titulada readme.txt mientras obstaculizan la recuperación del sistema.
Debido a su gran tamaño, alta dependencia de la tecnología y acceso a datos sensibles, las organizaciones de salud siguen siendo objetivos atractivos para la pandilla de ransomware Black Basta. Para reducir los riesgos de violaciones, los defensores recomiendan que las organizaciones críticas instalen todas las actualizaciones de software y firmware requeridas, apliquen la autenticación multifactorial, aseguren los kits de herramientas de acceso remoto y mantengan copias de seguridad de sistemas críticos y configuraciones de dispositivos para facilitar los procedimientos de recuperación. CISA y socios también recomiendan aplicar las mitigaciones generales proporcionadas en la Guía #DetenElRansomware para eliminar el impacto y la probabilidad de ataques de ransomware y amenazas de extorsión de datos.
Con los crecientes ataques atribuidos a Black Basta y otros afiliados de ransomware dirigidos a organizaciones de infraestructura crítica, es vital reforzar continuamente la vigilancia cibernética y fortalecer las defensas. Con el conjunto completo de productos de SOC Prime para Ingeniería de Detección impulsada por IA, Caza de Amenazas Automatizada y Validación de Stack de Detección, los defensores pueden minimizar los riesgos de intrusiones y maximizar el valor de las inversiones en seguridad.