El ransomware Black Basta gana terreno
Los investigadores de la empresa de seguridad Cybereason publicaron un informe sobre una nueva variedad de ransomware que se puso en circulación en los últimos meses, pero que ya logró anotar casi 50 víctimas en países de habla inglesa, incluidos EE. UU., Reino Unido, Australia y Nueva Zelanda.
Este ascenso meteórico a la infamia llevó a la pandilla de ransomware Black Basta solo dos meses, lo que puso su nombre en el centro de atención de los investigadores de seguridad.
La pandilla de ransomware ofrece el ransomware Black Basta en base a RaaS. La herramienta maliciosa se publicitó en foros de la web oscura usando el modelo típico de ransomware como servicio, ofreciendo un plan de participación en las ganancias para los "afiliados" que realizan ataques usando el ransomware.
El modo de operación utilizado por Black Basta es el mismo que emplean la mayoría de las pandillas de ransomware: doble extorsión que consiste en bloquear archivos cifrados y exfiltrar algunos de ellos antes del cifrado, para usarlos como chantaje y amenazar con fugas de información confidencial.
Los ataques que culminaron con la implementación de Black Basta usaron QBot para filtrar las credenciales de los sistemas comprometidos, luego se movieron lateralmente a través de la red de la víctima para finalmente implementar el ransomware en tantos hosts como fuera posible. El ransomware también tiene una variante diseñada para apuntar a sistemas Linux, específicamente instancias virtuales ESXi implementadas en servidores empresariales.
Los investigadores de seguridad creen que la pandilla Black Basta está compuesta por ex pandilleros de Conti, aunque Conti lo negó. A pesar de que Conti está haciendo todo lo posible para que el mundo crea que el equipo de ransomware ya no existe, los investigadores creen que si bien la entidad que era Conti ya no existe, fragmentos del equipo se trasladaron a otras bandas de ciberdelincuentes.
