#main-nav-header { display:none; }

El error de Black Basta: explotar los chats filtrados del grupo

Informe sobre amenazas - 17 de marzo de 2025

Tabla de contenido

Información general

Cloudforce One analiza las TTP (técnicas, tácticas y procedimientos) de Black Basta

Cómo protegerte

Indicadores del riesgo

Información general

Black Basta, un conocido grupo de ransomware vinculado a las empresas criminales Ryuk y Conti, quedó expuesto cuando se filtró su servidor de chat Matrix en un canal de Telegram. El servidor de chat, alojado en el dominio bestflowers247[.]online, fue filtrado por un usuario que se hacía llamar ExploitWhispers. Los archivos filtrados contenían documentos JSON que detallaban marcas de tiempo, información del remitente y del destinatario, los Id. de los hilos y el contenido de los mensajes. Estos datos proporcionan información útil sobre las operaciones del grupo, lo que ayuda a identificar las cuentas y los dominios clave utilizados por sus miembros.

ExploitWhispers filtra los registros de chat de Black Basta, exponiendo cuentas y dominios clave

Los datos de chat filtrados no solo ofrecen información sobre el funcionamiento interno de Black Basta, sino que también arrojan luz sobre el ecosistema del ransomware en general. Saber cómo el grupo se mueve en este ecosistema proporciona información valiosa sobre su escala y capacidades, con varios métodos disponibles para evaluar su eficacia e impacto. Un enfoque consiste en analizar las transacciones en criptomonedas atribuidas a la empresa delictiva. Kaitlin Martin, de la empresa de datos de blockchain Chainalysis, destaca este mismo punto en referencia a la fuga de Black Basta:

"Los datos en cadena y fuera de cadena dentro de los chats filtrados de Black Basta muestran cómo el grupo depende de varios servicios web, servicios de terceros y foros de la dark web para sus operaciones. Los pagos a estos servicios no solo por parte de Black Basta, sino también de otros grupos de ransomware, revelan hasta qué punto estos servicios forman parte de la infraestructura crítica del ecosistema de ransomware".

El análisis de las transacciones financieras y las dependencias operativas permite a los investigadores comprender mejor el ecosistema en el que operan y se sostienen estos grupos.

Un aspecto clave de este ecosistema es cómo las bandas de ransomware seleccionan a sus víctimas. Si bien es cierto que algunos sectores y regiones del mundo se ven afectados de manera desproporcionada, parece ser que las bandas de ransomware no seleccionan víctimas específicas, sino que las eligen de entre un grupo de máquinas ya vulneradas. Las bandas de ransomware se coordinan con equipos criminales que infectan miles de máquinas al día, y luego revisan la lista de sistemas en riesgo para identificar los que pertenecen a empresas con gran capacidad financiera.

En muchos casos, las bandas de ransomware compran el acceso inicial a los hosts de las víctimas a intermediarios que rastrean grandes conjuntos de credenciales que se intercambian y venden en mercados y foros delictivos. Estas credenciales, obtenidas por malware de robo como LummaC2, suelen pertenecer a cuentas de sistemas de acceso remoto como RDWeb, Citrix y VPN basadas en navegador. Conocer este proceso de selección destaca la importancia de una seguridad de credenciales sólida, de la segmentación de la red y de la supervisión proactiva de las amenazas para interrumpir las operaciones de ransomware antes de que se conviertan en ataques a gran escala.

Antes de la filtración, Black Basta llevó a cabo operaciones de ransomware muy eficaces, que afectaron a numerosas empresas y causaron millones de dólares en daños y pagos de rescates. Los datos de chat filtrados proporcionan información sobre las tácticas, técnicas y procedimientos (TTP) del grupo, y ofrecen visibilidad de sus operaciones. Con estos datos, Cloudflare rastreó la actividad de Black Basta y descubrió información única sobre su infraestructura y métodos de ataque. Las organizaciones pueden aprovechar esta información para mejorar su nivel de comprensión de las bandas de ransomware como Black Basta a fin de mejorar sus defensas y de anticipar proactivamente sus próximos movimientos, reduciendo el riesgo de ser víctimas de futuros ataques.

Cloudforce One analiza las TTP (técnicas, tácticas y procedimientos) de Black Basta

Cuando Cloudforce One obtuvo el archivo bestflowers.json, identificamos en primer lugar cualquier infraestructura a la que se hiciera referencia en los chats, centrándonos en aquellos en los que teníamos una visibilidad única. Durante este proceso, descubrimos las técnicas empleadas por Black Basta para facilitar la exfiltración de datos y ocultar su infraestructura remota. Llevamos a cabo un análisis exhaustivo de esta infraestructura para evaluar su impacto potencial. Nuestra investigación confirmó que muchos de los dominios mencionados en los chats no se utilizaron, lo que sugiere que se crearon de forma preventiva para tareas operativas que nunca se materializaron.

Black Basta siguió un proceso coherente para configurar cuentas con proveedores de infraestructura. Los miembros del grupo compartían regularmente detalles de creación de cuentas en el chat, incluidos nombres, direcciones postales y credenciales de inicio de sesión. Utilizaban dominios de aspecto corporativo para las direcciones de correo electrónico en lugar de aprovechar los servicios de correo electrónico gratuitos. A la hora de gestionar su infraestructura, se conectaban desde diversas redes y utilizaban servicios de anonimato de forma incongruente. Aunque sus contraseñas eran razonablemente complejas, con frecuencia reutilizaban las mismas en varias cuentas.

Tras completar la investigación de la infraestructura de Black Basta, revisamos detenidamente los chats para analizar sus métodos de acceso inicial, las tácticas posteriores a la explotación y las estrategias de negociación. Black Basta utilizó activamente malware precursor como Qakbot para infiltrarse en un gran número de máquinas en todo el mundo. Después de obtener acceso, identificaron objetivos de alto valor a través de tareas posteriores a la explotación, incluidas técnicas de sobra conocidas como la instalación de cargas malintencionadas (beacons) persistentes, la enumeración de directorios y la escalada de privilegios.

En algunos casos, Black Basta vulneró los sistemas utilizando otros métodos que implicaban credenciales obtenidas por un hacker. Cloudforce One descubrió algunas de las cuentas asociadas en conjuntos de credenciales intercambiadas y compartidas libremente en canales de Telegram dedicados a los registros de hackers. En la imagen siguiente se muestra un ejemplo de mensaje de Telegram que implica una de estas cuentas en riesgo.

Cuenta RDWeb en riesgo de una empresa estadounidense identificada por Black Basta

La dependencia de Black Basta del robo de credenciales y el malware subraya la naturaleza interconectada del ecosistema del ransomware, un ecosistema que se nutre no solo del acceso inicial, sino también de la infraestructura financiera que sustenta sus operaciones. Los pagos de rescate se realizan a través de criptomonedas, principalmente bitcoin. Los chats filtrados contienen numerosas direcciones de criptomonedas que pueden servir como destinos de pago, que se pueden agrupar con otras direcciones para analizar la huella y el impacto financiero de Black Basta.

El grupo también hace referencia a las criptomonedas cuando organiza los pagos de la infraestructura, y los solicitantes especifican el importe y, a veces, ofrecen varias opciones de pago en criptomonedas. Esto refleja las prácticas observadas en las filtraciones del chat de Conti de 2022, donde los miembros del equipo pedían habitualmente a los gerentes que realizaran pagos en criptomonedas para servidores privados virtuales, nombres de dominio y servicios VPN.

La investigación de Cloudforce One sobre la información divulgada como resultado de la filtración del servidor de chat de Black Basta proporcionó interesante información sobre las tácticas del grupo y reveló la información única con la que cuenta Cloudflare. Confirmó el uso por parte del grupo de malware precursor, su manejo estratégico de las credenciales y su capacidad de infiltrarse en las redes, mantener la persistencia y atacar con éxito a víctimas de alto valor. El análisis de los datos filtrados del chat también nos proporcionó más detalles sobre el papel fundamental que desempeñan las criptomonedas en el mantenimiento de sus operaciones, así como su dependencia de varios servicios web y de terceros y de los foros de la dark web. Esta investigación destaca la evolución de la complejidad del ecosistema del ransomware y subraya la necesidad de una defensa eficaz, que abarque desde la protección de los puntos de acceso iniciales hasta la supervisión de las transacciones financieras, para combatir eficazmente a estos ciberdelincuentes persistentes y adaptables.

Cómo protegerte

Muchas revistas y blogs ofrecen recomendaciones para la mitigación del ransomware, pero a menudo no abordan las causas fundamentales de los incidentes. Los grupos de ransomware suelen obtener acceso inicial a través de algunos métodos clave:

Robo y reventa de credenciales: los hackers obtienen credenciales de acceso remoto, que luego se venden a intermediarios de acceso inicial. Estos intermediarios, a su vez, los venden a grupos de ransomware.
Implementación de malware precursor: los ciberdelincuentes distribuyen malware como Qakbot e IcedID a través de campañas de spam generalizadas. A partir de ahí, identifican los objetivos de ransomware de alto valor de las máquinas infectadas. Los ciberdelincuentes suelen entregar este malware a través de archivos adjuntos de correo electrónico con scripts integrados, o enlaces a archivos que contienen scripts, que descargan y ejecutan cargas malintencionadas.
Explotación de dispositivos perimetrales vulnerables: los grupos de ransomware suelen explotar vulnerabilidades no actualizadas en firewalls, dispositivos VPN y servicios de intercambio de archivos para acceder de forma no autorizada. Los incidentes de ransomware a menudo son consecuencia de estas vulnerabilidades de seguridad, que los atacantes aprovechan para infiltrarse en las redes e implementar sus cargas malintencionadas.

Sigue estas recomendaciones para reducir tu exposición al ransomware:

Desactiva las contraseñas almacenadas en el navegador: las empresas que proporcionan un gestor de contraseñas deben evitar que los usuarios guarden las credenciales en los navegadores web.
Protege el acceso remoto: exige autenticación multifactor (MFA) para RDP, RDWeb, Citrix, VPN y otros servicios de acceso remoto expuestos a Internet.
Informa a los usuarios sobre el software pirata: el software ilegítimo es una de las principales fuentes de robo de información, ya que se recopilan credenciales que luego se venden a los intermediarios de acceso inicial.
Filtra cuidadosamente los archivos adjuntos del correo electrónico: considera utilizar una solución eficaz de seguridad de correo electrónico que bloquee los archivos adjuntos maliciosos que contengan contenido activo, como macros o scripts, para evitar la entrega de malware. Cloudflare protege contra los vectores de infección transmitidos por correo electrónico que suelen utilizar los grupos de ransomware mediante nuestro producto Cloudflare Email Security.
Bloquea las macros de Office de riesgo: evita la ejecución de macros en documentos de Office identificados con el mecanismos de protección Mark of the Web (marca web), que indica que se han descargado de Internet.
Informa de abusos en las redes de Cloudflare: si identificas una actividad sospechosa, notifícala en el Centro de confianza de Cloudflare.

Indicadores del riesgo

La siguiente lista de dominios, extraída de los registros de chat de Black Basta, está asociada con malware y exfiltración de datos. Aunque algunos de estos dominios estuvieron activos en el pasado y es poco probable que aparezcan en el tráfico futuro, la realización de un análisis retrospectivo podría ayudar a identificar cualquier conexión histórica. La detección de actividad pasada asociada a estos dominios puede indicar la comunicación de malware con un servidor de comando y control.

La tabla incluye algunos de los dominios y direcciones IP destacados identificados en los chats filtrados, pero solo proporciona una muestra de la larga lista de indicadores de Black Basta controlados por Cloudforce One. Para obtener más información sobre cómo acceder a la lista completa de indicadores junto con el contexto práctico adicional, consulta nuestra plataforma de eventos de amenazas, disponible para los clientes de Cloudforce One.

Acerca de Cloudforce One

La misión de Cloudflare es ayudar a mejorar Internet. Y solo es posible mejorar Internet con iniciativas que detecten, detengan y destruyan a los agentes maliciosos que desean socavar la confianza y manipular Internet para sus propios beneficios, personales o políticos. Aquí es donde entra en juego Cloudforce One. Este equipo dedicado de Cloudflare, compuesto por investigadores mundialmente reconocidos en el campo de las amenazas, se encarga de publicar información sobre amenazas para brindar a los equipos de seguridad el contexto necesario para que puedan tomar decisiones de forma rápida y segura. Identificamos los ataques y te protegemos contra ellos gracias a información que solo está a nuestra disposición.

Nuestra visibilidad se basa en la red global de Cloudflare, una de las más grandes del mundo, que abarca aproximadamente el 20 % de Internet. Millones de usuarios de Internet de todo el mundo han adoptado nuestros servicios, lo que nos brinda una visibilidad inigualable de los eventos globales, incluidas las actividades maliciosas. Esta posición estratégica permite que Cloudforce One lleve a cabo reconocimientos en tiempo real, detenga los ataques desde el punto de lanzamiento y transforme la información en un éxito táctico.