Seleccionar página

Rompiendo el molde: Deteniendo el Código de un Hacker ep. 4 – Black Basta

Introducción

«Su red está cifrada por el grupo Black Basta». «Los datos serán publicados en el sitio web TOR si no paga el rescate…» Ransomware. Esta es la palabra que produce escalofríos. En la era del ransomware, los datos sensibles son robados y sólo se devuelven tras la entrega de una demanda monetaria. El Black Basta, descubierto originalmente en abril de 2022, es una nueva familia de ransomware que se está extendiendo de forma desenfrenada. En sólo unos meses, este recién llegado ha extendido su alcance a más de 50 empresas de todo el mundo. Por el momento, estos ataques parecen ser agnósticos para la industria, con infiltraciones reportadas en múltiples verticales e industrias. 

Vulnerabilidad

Recientemente, el ransomware de Black Basta ha hecho uso de Qakbot (QBot), una herramienta que aprovecha Windows Management Instrumentation (WMI) para interactuar directamente con el sistema operativo y recopilar información procesable.  Un ejemplo de ello es el uso de QBot para descubrir y examinar el software de seguridad instalado en el punto final para magnificar su debilidad, por lo que las cargas útiles pueden ser insertadas a propósito en el dispositivo. Además de esto, Black Basta puede saquear datos sensibles y ejecutar cargas útiles maliciosas.

Con la ayuda de QBot, el plan de ataque de Black Basta suele ser el siguiente:

En primer lugar, los atacantes recogen las credenciales y comprenden la arquitectura de la red. A partir de ahí, se dirigen al controlador de dominio (DC) y se mueven lateralmente utilizando PsExec. Una vez que los DCs son comprometidos con éxito, se crea un objeto de directiva de grupo para desactivar Windows Defender, y se procederá a la eliminación de cualquier producto antivirus.

La siguiente etapa del ataque consiste en desplegar el ransomware en los puntos finales objetivo a través de un comando PowerShell codificado. Después, la carga útil final -el ransomware Black Basta- se implanta con éxito en la máquina de la víctima. Como es habitual en el ransomware, Black Basta cifrará los archivos de la máquina y dejará una nota de rescate al usuario. Cuando el payload se ejecuta finalmente, el ransomware elimina primero las Virtual Volume Shadow Copies (VSS) del sistema y otras copias de seguridad de los archivos, asegurándose de que las víctimas no puedan descifrar o recuperar los archivos de VSS.

En cuanto a la rutina de cifrado del ransomware, comienza el proceso convirtiendo el fondo del escritorio en una imagen negra con las palabras escritas encima. Al mismo tiempo, recorre los archivos y los cifra, añadiendo la extensión «.basta» a los archivos cifrados. Finalmente, la nota de rescate llamada «readme.txt» se personaliza con un identificador único, que puede encontrarse en una carpeta arbitraria para que la víctima lo utilice en las negociaciones con Black Basta.

Remediación 

Para evitar la ejecución del ransomware Black Basta, contamos con una estrategia de mitigación ciberresistente para construir un protocolo de defensa multicapa que detectará y bloqueará el malware utilizando una combinación de inteligencia de amenazas, aprendizaje automático y capacidades de antivirus de nueva generación (NGAV). 

Nuestra estrategia de mitigación crea un método de supervisión que puede identificar variantes de malware conocidas y desconocidas, y puede bloquear y generar un MalOpTM para cualquier intento de cifrado de archivos tan pronto como se detecte. Para ejecutar esta estrategia, es necesario cumplir algunos requisitos previos:

  • Habilite la función antiransomware en su NGAV
  • Habilite la función anti-malware en su NGAV 
  • Mantenga los sistemas totalmente parcheados
  • Realice regularmente copias de seguridad de los archivos en un servidor remoto o externo
  • Utilice soluciones de seguridad con dispositivos y métodos organizativos

Implementación de la corrección

La base de firmas de detección de botnets de Hillstone puede proporcionar una protección adecuada contra esta vulnerabilidad. Los dispositivos, como Hillstone sBDS, pueden activar y desplegar automáticamente esta capacidad mediante una actualización a la versión más reciente 3.8.220728. 

Figura 1. El Black Basta configuró la defensa contra por la base de datos de firmas de detección de botnets de Hillstone en sBDS