Nuevo aviso sobre IOCs y TTPs recientemente observados en Black Basta.
CISA publica información procesable para ayudar a todas las organizaciones a identificar y protegerse contra esta actividad de ransomware.
Black Basta es un grupo de ciberdelincuentes que se ha destacado en el mundo del ransomware. Aquí tienes un resumen sobre ellos:
- Origen y Modelo de Operación: Black Basta emergió por primera vez en la primavera de 2022 y opera bajo el modelo de ransomware como servicio (RaaS). Esto significa que ofrecen su ransomware a otros actores maliciosos para que lo utilicen en sus ataques.
- Doble Extorsión: Una de las tácticas distintivas de Black Basta es la doble extorsión. Antes de cifrar los datos de la víctima, exfiltran información sensible y amenazan con publicarla si no se paga el rescate.
- Objetivos y Ganancias: Black Basta ha atacado entre 75 y 300 organizaciones, principalmente en Estados Unidos. Sus objetivos suelen ser empresas de tamaño medio, especialmente en sectores como manufactura, ingeniería y construcción. Se estima que han obtenido pagos cercanos a los 100 millones de dólares, principalmente en Estados Unidos y Alemania12.
- Técnicas de Infección: Utilizan técnicas avanzadas como el phishing para infiltrarse en las redes de sus objetivos. Por ejemplo, envían correos electrónicos que incitan a las víctimas a descargar un archivo ZIP que contiene una imagen ISO. Esta estrategia les permite eludir los mecanismos de seguridad, ya que los archivos ISO no son comúnmente bloqueados o marcados como peligrosos por los sistemas de seguridad1.
Más información en: https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-131a