Black Basta

Black Basta apareció en el horizonte de amenazas en abril de 2022, operando bajo el modelo de Ransomware como servicio (Ransomware-as-a-Service – RaaS) e impactando organizaciones por todo el mundo. El grupo ha sido asociado a Conti, un prolífico operador de ransomware que se disolvió en 2022. Esto no sería un hecho sorprendente ya que el movimiento de miembros de una organización a otra es una práctica común en el “sector” de las OCGs. También se ha afirmado que Black Basta tiene relación con FIN7, ya que se observó un solapamiento en las TTPs utilizadas por ambos operadores.

De igual manera que el resto de operadores de ransomware, actúan bajo un modelo de doble extorsión, exfiltrando los datos y posteriormente cifrándolos, provocando una disrupción del negocio de distinta magnitud dependiendo de las medidas de seguridad de la víctima y del alcance de la infección.

En lo que respecta al ransomware, es de carácter multiplataforma, escrito en C++ y que utiliza el algoritmo de cifrado ChaCha20 – este algoritmo de cifrado simétrico utiliza una clave de 256 bits tanto para cifrar como para descifrar. Para conseguir acceso inicial el grupo se vale de emails de phishing que infectan con malware el sistema, utilizando QBot para desplazarse lateralmente – el grupo se asoció con la operación de malware QBot. Durante su cadena de ataque también se ha observado el uso de balizas de Cobalt Strike.

Algunos de los ataques más relevantes que ha realizado el grupo son el compromiso de Rheinmetall AG, Ascension Health, Capita o ABB.

El 31 marzo de 2023, la empresa británica Capita, subcontratista del sector público, sufrió una interrupción de sus servicios que duró tres días, más tarde informaron de que esta situación era el resultado de un ciber-ataque. De acuerdo con las fuentes, esta intrusión le costó a la empresa aproximadamente entre unos 15 y 20 millones de libras. El grupo consiguió infectar el 4% de los servidores de la empresa y exfiltró información sensible que impactó a clientes de la empresa, como el Servicio Nacional de Salud británico (NHS). Capita pagó el rescate de los datos.

En mayo de 2023, Rheinmetall, una empresa dentro de la industria del automóvil y además fabricante de munición, hizo público que habían sido víctimas de un incidente de ransomware. No es común que un operador de ransomware lleve a cabo ataques con motivaciones políticas, y aunque en este caso no se llegó a probar que la hubiera, se produjo poco después de que la empresa firmara un acuerdo con una organización ucraniana para la entrega de tanques.

También a mitad de 2023, Black Basta comprometió a otra víctima de perfil alto, ABB, una empresa de origen suizo dedicada a tecnología de electrificación y automatización. En este caso, la empresa pudo haber sido elegida por formar parte de la cadena de suministro de otras grandes organizaciones, como Volvo, Hitachi, instituciones gubernamentales estadounidenses o, en el caso de España, la administración de la ciudad de Zaragoza. Este ataque tuvo un impacto en las operaciones de la empresa, siendo capaz de provocar la paralización de su producción.

A finales de diciembre de 2023, investigadores de Security Research Labs desarrollaron un descifrador para el ransomware de Black Basta. Bajo el nombre de Black Basta Buster, esta herramienta se aprovecha de una “debilidad” dentro del algoritmo de cifrado y permite recuperar algunos archivos, dependiendo de su tamaño y de cuantas veces fue cifrado.