Black Basta, probablemente vinculado al grupo FIN7, instala herramientas de evasión EDR – Endpoint Detection and Response – implementa scripts y borra sus huellas
CLM, distribuidor latinoamericano de valor agregado enfocado en seguridad de la información, protección de datos, infraestructura para data centers y cloud, advierte sobre nuevos ataques de ransomware que utilizan herramientas de evasión EDR – Endpoint Detection and Response.
Se trata del ransomware Black Basta que ha utilizado técnicas, hasta ahora desconocidas, capaces de deshabilitar sistemas de seguridad como Windows Defender, obteniendo accesos privilegiados y camuflándose en el sistema.
El descubrimiento fue realizado por investigadores de Sentinel Labs, el laboratorio de investigación de delitos digitales de SentinelOne, cuya solución para proteger contra Ransomware y otros malwares se basa en inteligencia artificial.
El CEO de CLM, Francisco Camargo, explica que los investigadores de Sentinel Labs describieron las tácticas, técnicas y procedimientos operativos de Black Basta en un informe detallado que muestra la seriedad de los estudios publicados en el espacio abierto. «En su análisis, los investigadores encontraron que Black Basta instala herramientas personalizadas, sus ataques usan una versión encubierta de ADFind y explotan las vulnerabilidades PrintNightmare, ZeroLogon y NoPac para escalar privilegios», comenta.
Además, añade el ejecutivo, los ciberdelincuentes inician sus ataques con un Qakbot, entregado por correo electrónico y documentos de MS Office, que contienen macros, cuentagotas ISO+LNK y documentos .docx que explotan la vulnerabilidad de ejecución remota de código MSDTC, CVE-2022-30190. “Después de utilizar meticulosas técnicas de piratería, incluida la de convertirse en el administrador del sistema con una contraseña propia, borran sus huellas”, describe Camargo.
Black Basta mantiene e implementa herramientas personalizadas
En su informe, Sentinel Labs explica que Black Basta usa varios métodos para el movimiento lateral, implementando diferentes scripts, en lotes, a través de Psexec en distintas máquinas para automatizar la terminación de procesos y servicios y socavar las defensas. El ransomware también se implementó en varias máquinas a través de Psexec.
En los análisis más recientes de Black Basta, Sentinel Labs observó un archivo por lotes llamado SERVI.bat implementado a través de Psexec en todos los puntos finales de la infraestructura de destino. Este script, instalado por el atacante, tiene como objetivo eliminar servicios y procesos para maximizar el impacto del ransomware y eliminar ciertas soluciones de seguridad.
El ransomware Black Basta surgió en abril de 2022 y ha invadido más de 90 organizaciones hasta septiembre de 2022. La velocidad y el volumen de los ataques demuestran que los actores detrás de Black Basta están bien organizados y cuentan con los recursos necesarios.
Según los investigadores de Sentinel Labs, aún no ha habido indicios de que Black Basta esté reclutando afiliados o promocionándose como RaaS – Ransomware as a Service – en foros de darknet o mercados de crimeware. Esto ha llevado a mucha especulación sobre el origen, la identidad y el funcionamiento del grupo.
Las investigaciones indican que las personas detrás del ransomware Black Basta desarrollan y mantienen su propio conjunto de herramientas y excluyen a los afiliados o solo colaboran con un conjunto limitado y confiable de afiliados, similar a otros grupos de ransomware «privados», como Conti, TA505 y Evilcorp.
Personajes conocidos detrás del nuevo ransomware
SentinelLabs evalúa que el desarrollador de estas herramientas de evasión de EDR probablemente sea o haya sido el desarrollador de FIN7. Según los investigadores, el ecosistema del crimeware está en constante expansión, cambio y evolución.
FIN7 (o Carbanak) frecuentemente se le atribuye haber abierto nuevos caminos en el espacio criminal, llevando los ataques contra bancos y sistemas PoS a nuevos niveles, mucho más allá de los esquemas de otros grupos.
“A medida que logramos arrojar luz detrás de la escurridiza operación de ransomware Black Basta, no nos sorprendería encontrar una cara familiar detrás de esta ambiciosa operación. Si bien hay muchas caras nuevas y diversas amenazas en el espacio del ransomware y la extorsión dual, se espera que los equipos criminales profesionales existentes den su propio giro para maximizar las ganancias ilícitas de nuevas maneras”, detalla.