El ransomware Black Basta como servicio (RaaS) ha dirigido su atención a más de 500 entidades en América del Norte, Europa y Australia desde su aparición en abril de 2022.
En un aviso conjunto publicado por la Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA), el Buró Federal de Investigaciones (FBI), el Departamento de Salud y Servicios Humanos (HHS) y el Centro de Compartición y Análisis de Información Multiestatal (MS-ISAC). Las agencias informaron que los actores de amenazas cifraron y robaron datos de al menos 12 de los 16 sectores de infraestructuras críticas.
«Los afiliados de Black Basta utilizan técnicas comunes de acceso inicial, como phishing y aprovechamiento de vulnerabilidades conocidas, y luego emplean un modelo de doble extorsión, tanto cifrando sistemas como filtrando datos», indica el boletín.
A diferencia de otros grupos de ransomware, las notas de rescate dejadas al final del ataque no contienen una demanda inicial de rescate ni instrucciones de pago. En cambio, las notas proporcionan a las víctimas un código único y les indican que contacten con la pandilla a través de una URL .onion.
El ransomware Black Basta fue observado en abril de 2022
Utilizando QakBot como vector inicial y ha seguido siendo un actor de ransomware altamente activo desde entonces; estadísticas recopiladas por Malwarebytes muestran que el grupo ha sido vinculado a 28 de los 373 ataques de ransomware confirmados que tuvieron lugar en abril de 2024. Según Kaspersky, fue la 12ª familia más activa en 2023.
Otros métodos utilizados para obtener privilegios elevados incluyen la explotación de fallas de seguridad como ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278 y CVE-2021-42287) y PrintNightmare (CVE-2021-34527).
En algunos casos, también se ha utilizado una herramienta llamada Backstab para deshabilitar software de detección y respuesta de puntos finales (EDR). Vale la pena mencionar que Backstab también ha sido utilizado por afiliados de LockBit en el pasado.
Un nuevo análisis del equipo Fox-IT de NCC Group reveló que todavía existen 3.143 servidores en riesgo de CVE-2023-48365 (también conocido como DoubleQlik).
La mayoría de estos servidores estan ubicados en Estados Unidos, Italia, Brasil, los Países Bajos y Alemania a partir del 17 de abril de 2024.
El panorama del ransomware está en un estado de cambio, registrando una disminución del 18% en la actividad en el primer trimestre de 2024. En comparación con el trimestre anterior principalmente debido a las operaciones de las fuerzas del orden contra ALPHV (también conocido como BlackCat) y LockBit.
Dado que LockBit ha sufrido importantes contratiempos en su reputación entre los afiliados, se sospecha que el grupo intentará probablemente cambiar de marca. «El grupo de ransomware DarkVault es un posible sucesor de LockBit», dijo la empresa de ciberseguridad ReliaQuest, citando similitudes en la marca de LockBit.
Algunos de los otros nuevos grupos de ransomware
Que han aparecido en las últimas semanas incluyen APT73, DoNex, DragonForce, Hunt (una variante de ransomware Dharma/Crysis), KageNoHitobito, Megazord, Qiulong, Rincrypt y Shinra.
Esto se corrobora con los hallazgos de Coveware, propiedad de Veeam, que afirmó que la proporción de víctimas que optaron por pagar alcanzó un nuevo mínimo histórico del 28% en el primer trimestre de 2024. El pago promedio de rescate durante ese período fue de 381.980 dólares, una disminución del 32% con respecto al cuarto trimestre de 2023.
Según el informe «Estado del Ransomware 2024» de Sophos, publicado a finales del mes pasado y que encuestó a 5.000 organizaciones a nivel mundial, un número considerable de víctimas se negó a pagar la cantidad inicial exigida.
«Aunque la tasa de pago de rescate ha aumentado, solo el 24% de los encuestados afirma que su pago coincidió con la solicitud original. El 44% pagó menos que la demanda original, mientras que el 31% pagó más».
Fuente: