#main-nav-header { display:none; }

El error de Black Basta: explotar los chats filtrados del grupo

Informe sobre amenazas - 17 de marzo de 2025

Tabla de contenido

Descripción general

Cloudforce One analiza las TTP (técnicas, tácticas y procedimientos) de Black Basta

Cómo protegerse

Indicadores del riesgo

Descripción general

Black Basta, un conocido grupo de ransomware vinculado a las empresas delictivas Ryuk y Conti, se vio expuesto cuando apareció una filtración de su servidor de chat Matrix en un canal de Telegram. El servidor de chat, alojado en el dominio bestflowers247[.]online, fue filtrado por un usuario que se hacía llamar ExploitWhispers. Los archivos filtrados contenían documentos JSON que detallaban marcas de tiempo, información del remitente y el destinatario, ID de hilos y contenido del mensaje. Estos datos brindan información útil sobre las operaciones del grupo, lo que ayuda a identificar las cuentas y los dominios clave utilizados por sus miembros.

Los datos de chat filtrados no solo ofrecen información sobre el funcionamiento interno de Black Basta, sino que también arrojan luz sobre el ecosistema de ransomware en general. Saber cómo el grupo se mueve en este ecosistema brinda información valiosa sobre su escala y capacidades, con varios métodos disponibles para evaluar su eficacia e impacto. Un enfoque consiste en analizar las transacciones de criptomonedas atribuidas a la empresa delictiva. Kaitlin Martin, de la empresa de datos de blockchain Chainalysis, destacó este mismo punto en referencia a la filtración de Black Basta:

"Los datos en cadena y fuera de cadena dentro de los chats filtrados de Black Basta muestran cómo el grupo depende de varios servicios web, servicios de terceros y foros de la dark web para sus operaciones. Los pagos a estos servicios no solo por parte de Black Basta, sino también de otros grupos de ransomware, revelan hasta qué punto estos servicios forman parte de la infraestructura crítica del ecosistema de ransomware".

El análisis de las transacciones financieras y las dependencias operativas permite a los investigadores comprender mejor el ecosistema en el que operan y se sostienen estos grupos.

Un aspecto clave de este ecosistema es cómo las bandas de ransomware seleccionan a sus víctimas. Si bien es cierto que algunos sectores y regiones del mundo se ven afectados de manera desproporcionada, aparentemente las bandas de ransomware no seleccionan víctimas específicas, sino que las eligen entre un grupo de máquinas ya comprometidas. Las bandas de ransomware se coordinan con equipos criminales que infectan miles de máquinas al día, y luego revisan la lista de sistemas en riesgo para identificar los que pertenecen a empresas con gran capacidad financiera.

En muchos casos, las bandas de ransomware compran el acceso inicial a los hosts de las víctimas a intermediarios que rastrean grandes conjuntos de credenciales que se intercambian y venden en mercados y foros delictivos. Estas credenciales, obtenidas por malware de robo como LummaC2, suelen pertenecer a cuentas de sistemas de acceso remoto como RDWeb, Citrix y VPN basadas en navegador. Conocer este proceso de selección destaca la importancia de una seguridad de credenciales sólida, la segmentación de la red y la supervisión proactiva de las amenaza para interrumpir las operaciones de ransomware antes de que se conviertan en ataques a gran escala.

Antes de la filtración, Black Basta llevó a cabo operaciones de ransomware muy eficaces, que afectaron a numerosas empresas y causaron millones de dólares en daños y pagos de rescates. Los datos de chat filtrados brindan información sobre las tácticas, técnicas y procedimientos (TTP) del grupo, y ofrecen visibilidad de sus operaciones. Con estos datos, Cloudflare rastreó la actividad de Black Basta y descubrió información única sobre su infraestructura y métodos de ataque. Las organizaciones pueden aprovechar esta información para mejorar su nivel de comprensión de las bandas de ransomware como Black Basta para mejorar su protección y anticipar sus próximos movimientos, reduciendo el riesgo de futuros ataques.

Cloudforce One analiza las TTP (técnicas, tácticas y procedimientos) de Black Basta

Cuando Cloudforce One obtuvo el archivo bestflowers.json, identificamos en primer lugar cualquier infraestructura a la que se hiciera referencia en los chats, centrándonos en aquellos en los que teníamos una visibilidad única. Durante este proceso, descubrimos las técnicas empleadas por Black Basta para facilitar la exfiltración de datos y ocultar su infraestructura remota. Llevamos a cabo un análisis exhaustivo de esta infraestructura para evaluar su posible impacto. Nuestra investigación confirmó que muchos de los dominios mencionados en los chats no se utilizaron, lo que sugiere que se crearon preventivamente para tareas operativas que nunca se materializaron.

Black Basta siguió un proceso uniforme para configurar cuentas con proveedores de infraestructura. Los miembros del grupo compartían regularmente detalles de creación de cuentas en el chat, incluidos nombres, direcciones postales y credenciales de inicio de sesión. Utilizaban dominios de aspecto corporativo para las direcciones de correo electrónico en lugar de aprovechar los servicios de correo electrónico gratuitos. A la hora de gestionar su infraestructura, se conectaban desde diversas redes y utilizaban servicios de anonimato de forma incongruente. Si bien sus contraseñas eran razonablemente complejas, con frecuencia reutilizaban las mismas en varias cuentas.

Tras completar la investigación de la infraestructura de Black Basta, revisamos detenidamente los chats para analizar sus métodos de acceso inicial, las tácticas posteriores a la explotación y las estrategias de negociación. Black Basta aprovechó malware precursor como Qakbot para infiltrarse en una gran cantidad de máquinas en todo el mundo. Después de obtener acceso, identificaron objetivos de alto valor a través de tareas posteriores a la explotación, incluidas técnicas reconocidas como la instalación de cargas malintencionada (beacons) persistentes, la enumeración de directorios y la escalada de privilegios.

En algunos casos, vulneraron los sistemas utilizando otros métodos que implicaban credenciales obtenidas por un hacker. Cloudforce One descubrió algunas de las cuentas asociadas en conjuntos de credenciales intercambiadas y compartidas libremente en canales de Telegram dedicados a los registros de hackers. En la siguiente imagen, se muestra un ejemplo de mensaje de Telegram que implica una de estas cuentas en riesgo.

La dependencia de Black Basta del robo de credenciales y el malware subraya la naturaleza interconectada del ecosistema del ransomware, un ecosistema que se nutre no solo del acceso inicial, sino también de la infraestructura financiera que sustenta sus operaciones. Los pagos de rescate se hacen a través de criptomonedas, principalmente bitcoin. Los chats filtrados contienen numerosas direcciones de criptomonedas que pueden servir como destinos de pago, que se pueden agrupar con otras direcciones para analizar la huella y el impacto financiero de Black Basta.

El grupo también hace referencia a las criptomonedas cuando organiza los pagos de la infraestructura, y los solicitantes especifican el importe y, a veces, ofrecen varias opciones de pago en criptomonedas. Esto refleja las prácticas observadas en las filtraciones del chat de Conti de 2022, donde los miembros del equipo pedían habitualmente a los gerentes que hicieran pagos en criptomonedas para servidores privados virtuales, nombres de dominio y servicios VPN.

Cómo protegerse

Muchas revistas y blogs ofrecen recomendaciones para la mitigación del ransomware, pero a menudo no abordan las causas fundamentales de los incidentes. Los grupos de ransomware suelen obtener acceso inicial a través de algunos métodos clave:

Robo y reventa de credenciales: los hackers obtienen credenciales de acceso remoto, que luego se venden a intermediarios de acceso inicial. Estos intermediarios, a su vez, los venden a grupos de ransomware.
Implementación de malware precursor: los ciberdelincuentes distribuyen malware como Qakbot e IcedID a través de campañas de spam generalizadas. Luego, identifican objetivos de ransomware de alto valor de las máquinas infectadas. Los ciberdelincuentes suelen distribuir este malware a través de archivos adjuntos de correo electrónico con scripts integrados, o enlaces a archivos que contienen scripts, que descargan y ejecutan cargas malintencionadas.
Explotación de dispositivos perimetrales vulnerables: los grupos de ransomware suelen explotar vulnerabilidades no actualizadas en firewalls, dispositivos VPN y servicios de intercambio de archivos para obtener acceso no autorizado. Muchos incidentes de ransomware se originan a partir de estas deficiencias.

Sigue estas recomendaciones para reducir tu exposición al ransomware:

Desactiva las contraseñas almacenadas en el navegador: las empresas que brindan un gestor de contraseñas deben evitar que los usuarios guarden las credenciales en los navegadores web.
Protege los sistemas de acceso remoto: requieren autenticación multifactor (MFA) para RDP, RDWeb, Citrix, VPN y otros servicios de acceso remoto expuestos a Internet.
Informa a los usuarios sobre el software pirata: el software ilegítimo es una de las principales fuentes de robo de información, ya que se recopilan credenciales que luego se venden a los intermediarios de acceso inicial.
Filtra cuidadosamente los archivos adjuntos del correo electrónico: bloquea los archivos adjuntos que contengan contenido activo, como macros o scripts, para evitar la entrada de malware.
Bloquea las macros de Office de riesgo: evita la ejecución de macros en documentos de Office identificados con el mecanismo de protección Mark of the Web (marca web), que indica que se han descargado de Internet.
Informa de abusos en las redes de Cloudflare: si identificas una actividad sospechosa, notifícala en el Centro de confianza de Cloudflare.

Indicadores del riesgo

La siguiente lista de dominios, extraída de los registros de chat de Black Basta, está asociada con malware y exfiltración de datos. Si bien algunos de estos dominios estuvieron activos en el pasado y es poco probable que aparezcan en el tráfico futuro, un análisis retrospectivo podría ayudar a identificar cualquier conexión histórica. La detección de actividad pasada asociada a estos dominios puede indicar la comunicación de malware con un servidor de mando y control.

La tabla incluye algunos de los dominios y direcciones IP destacados que se encontraron en los chats filtrados, pero solo brinda una muestra de los indicadores de Black Basta rastreados por Cloudforce One. Para obtener una lista completa de indicadores junto con contexto útil adicional, consulta la plataforma de eventos de amenazas de Cloudforce One.

Acerca de Cloudforce One

La misión de Cloudflare es ayudar a mejorar el servicio de Internet para todos. Y una mejor Internet solo puede existir con iniciativas que detecten, interrumpan y destruyan a los agentes maliciosos que buscan erosionar la confianza y utilizar Internet para obtener beneficios personales o políticos. Ingresa a Cloudforce One – el equipo exclusivo de Cloudflare de investigadores de amenazas de reconocimiento mundial, que se encargan de publicar información sobre amenazas para brindar a los equipos de seguridad el contexto necesario para tomar decisiones rápidas y seguras. Identificamos y protegemos contra ataques con información única que nadie más tiene.

Nuestra visibilidad se basa en la red global de Cloudflare –una de las más grandes del mundo– que abarca aproximadamente el 20 % de Internet. Millones de usuarios de Internet de todo el mundo han adoptado nuestros servicios, lo que nos brinda una visibilidad inigualable de los acontecimientos globales, incluso de las actividades maliciosas. Esta posición estratégica permite que Cloudforce One haga reconocimientos en tiempo real, detenga los ataques desde el punto de lanzamiento y transforme la información en un éxito táctico.