Una nueva banda de ransomware está realizando ataques masivos
Una nueva banda de ransomware conocida como Black Basta se catapultó rápidamente a la palestra este mes. La banda vulneró al menos doce compañías en solo unas pocas semanas.
Los primeros ataques conocidos de Black Basta ocurrieron en la segunda semana de abril, cuando la banda comenzó rápidamente a atacar a empresas de todo el mundo.
Las demandas de rescate probablemente varíen entre las víctimas. Sin embargo, tenemos conocimiento de una víctima que recibió una demanda de más de $2 millones de la banda Black Basta para descifrar archivos y no filtrar los datos.
No se sabe mucho más sobre la nueva banda de ransomware, ya que no han comenzado a comercializar su operación ni a reclutar afiliados en foros de hackers.
Sin embargo, debido a su capacidad para acumular rápidamente nuevas víctimas y el estilo de sus negociaciones, es probable que esta no sea una banda nueva. Más bien parece un cambio de marca de una banda de ransomware de primer nivel anterior que trajo consigo a sus afiliados.
Roba datos antes de cifrarlos
Al igual que otras operaciones de ransomware dirigidas a empresas, Black Basta roba datos y documentos corporativos antes de cifrar los dispositivos de una empresa.
Estos datos robados luego se utilizan en ataques de doble extorsión. Ahí es donde los atacantes exigen un rescate para recibir un descifrador y evitar la publicación de los datos robados de la víctima.
La parte de extorsión de datos de estos ataques se lleva a cabo en el sitio Tor ‘Black Basta Blog’ o ‘Basta News’, que contiene una lista de todas las víctimas que no han pagado un rescate. Black Basta filtra lentamente los datos de cada víctima para tratar de presionarlos para que paguen un rescate.
El sitio de filtraciones de datos de Black Basta actualmente contiene páginas de filtraciones de datos de diez empresas que vulneraron. Sin embargo, sabemos de otras víctimas que actualmente no figuran en el sitio de filtracion de datos.
Su víctima más reciente en la lista es Deutsche Windtechnik, que sufrió un ciberataque el 11 de abril pero no había revelado que se trataba de un ataque de ransomware.
Ayer, el sitio de filtración de datos también comenzó a filtrar los datos de la Asociación Dental Estadounidense. La institución sufrió un ataque el 22 de abril, pero esa página ya fue eliminada desde entonces. La eliminación de su página indica que la empresa está negociando con los atacantes.
Una inmersión más profunda en Black Basta
Realizamos un breve análisis del ransomware Black Basta a partir de muestras encontradas en línea.
Cuando se ejecuta, el cifrador Black Basta debe ejecutarse con privilegios administrativos o no cifra los archivos. Una vez iniciado, el cifrador elimina las instantáneas de volumen con el siguiente comando:
C:\Windows\system32\cmd.exe /c C:\Windows\SysNative\vssadmin.exe delete shadows /all /quietLuego secuestra un servicio de Windows existente y lo usa para iniciar el ejecutable del cifrador de ransomware. En nuestras pruebas, el servicio de Windows que fue secuestrado fue el servicio ‘Fax’, como se muestra a continuación.
El ransomware también cambia el fondo de pantalla para mostrar un mensaje que dice: “Su red está cifrada por el grupo Black Basta. Las instrucciones están en el archivo readme.txt”.
Después, el ransomware reinicia la computadora en modo seguro con funciones de red, donde el servicio de Windows secuestrado se inicia y automáticamente comienza a cifrar los archivos en el dispositivo.
El experto en ransomware Michael Gillespie, que analizó el proceso de cifrado de Black Basta, dijo que utiliza el algoritmo ChaCha20 para cifrar archivos. Luego, la clave de cifrado ChaCha20 se cifra con una clave pública RSA-4096 incluida en el ejecutable.
Mientras cifra los archivos, el ransomware agrega la extensión .basta al nombre del archivo cifrado. Entonces, por ejemplo, test.jpg sería cifrado y renombrado a test.jpg.basta.
Para mostrar el ícono personalizado asociado con la extensión .basta, el ransomware crea una extensión personalizada en el Registro de Windows y asocia el ícono con un archivo ICO con nombre aleatorio en la carpeta %Temp%. Este ícono personalizado es muy similar al que usa la aplicación icy.tools.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.basta]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.basta\DefaultIcon]
@="C:\\Windows\\TEMP\\fkdjsadasd.ico"En cada carpeta del dispositivo cifrado, el ransomware crea un archivo readme.txt. Este contiene información sobre el ataque, un enlace y una identificación única requerida para iniciar sesión en la sesión de chat de negociación.
Negociación
El sitio de negociación de Tor se llama ‘Chat Black Basta’ y solo incluye una pantalla de inicio de sesión y un chat web que se puede usar para negociar con los atacantes
Los ciberdelincuentes usan esta pantalla para emitir un mensaje de bienvenida que contiene una demanda de rescate, una amenaza de que se filtrarán datos si no se realiza el pago en siete días y la promesa de un informe de seguridad después de que se pague el rescate.
Desafortunadamente, Gillespie dice que el algoritmo de cifrado es seguro y que no hay forma de recuperar archivos de forma gratuita.
Un probable cambio de marca
Según la rapidez con la que Black Basta acumuló víctimas y el estilo de sus negociaciones, es muy probable que se trate de un cambio de marca de una banda experimentada.
Una teoría discutida entre el investigador de seguridad MalwareHunterTeam y otro investigador es que Black Basta es posiblemente un próximo cambio de marca de la banda de ransomware Conti.
Conti ha estado bajo un intenso escrutinio durante los últimos dos meses. Esto ocurrió después de que un investigador ucraniano filtró un tesoro de conversaciones privadas y el código fuente del ransomware.
Debido a esto, se ha especulado que Conti cambiaría el nombre de su operación para evadir las autoridades y comenzar de nuevo con un nombre diferente.
Si bien el cifrador Black Basta es muy diferente al de Conti, MalwareHunterTeam cree que existen numerosas similitudes en su estilo de negociación y diseño de sitios web.
Además, Black Basta publicó los datos de una nueva víctima después de que se filtró una captura de pantalla de la negociación.
Este “castigo” es el mismo que introdujo Conti para frenar la marea de negociaciones que se filtraba en Twitter.
Si bien estas conexiones son tenues, la banda Black Basta debe ser monitoreada de cerca, ya que acaban de comenzar su operación.
