La semana pasada, Kela publicó un nuevo informe sobre la filtración de Black Basta que expone su funcionamiento interno.
Como se esperaba, desde la publicación de nuestro informe, el Centro de Inteligencia Cibernética de KELA tiene nueva información y análisis sobre la selección de víctimas en las estrategias de reconocimiento de Black Basta.
KELA descubrió que al menos el 11 % de los enlaces de ZoomInfo compartidos en las comunicaciones de Black Basta se asociaron posteriormente con empresas que aparecieron como víctimas confirmadas del ransomware, como ZircoDATA , Beko Technologies , Duty Free Americas , Fortive Corporation , Peco Foods y muchas más. Cabe destacar que el número promedio de días entre el momento en que se discutió por primera vez el perfil de ZoomInfo de una víctima en los chats internos de Black Basta y el momento en que se publicó en el blog del ransomware es de aproximadamente 75 días.
A lo largo de los años de actividad de Black Basta, KELA ha rastreado a más de 600 víctimas de ransomware de este grupo, de las cuales casi el 60 % se encontraban en Estados Unidos, seguidos por el 12 % en Alemania, el 8 % en el Reino Unido y el 7 % en Canadá. En cuanto a la industria, una de cada cuatro víctimas pertenecía al sector manufacturero, mientras que casi una de cada cinco pertenecía al sector de servicios profesionales. En los chats filtrados de Black Basta, KELA identificó al menos 368 empresas cuyos perfiles de ZoomInfo fueron referenciados, y aproximadamente 42 empresas (11 %) fueron confirmadas posteriormente como violadas.
Rastreo de un ataque: desde el acceso inicial a la venta hasta el ataque de rescate
Acceso inicial
El 5 de febrero de 2024, apareció una primera discusión sobre la empresa australiana ZircoDATA, con información sobre su entorno Citrix y su infraestructura en la nube, así como credenciales. Incluía un enlace a un perfil comercial de ZoomInfo de ZircoDATA, que mencionaba aproximadamente 663 PC y sugería posibles actividades de reconocimiento o enumeración.
Curiosamente, solo unos días antes, el 24 de enero de 2024, el actor de amenazas «crypmans» ofreció a la venta el acceso a ZircoDATA en el foro Exploit. KELA había identificado previamente a la víctima basándose en la coincidencia de la descripción del actor y la información disponible públicamente sobre la empresa. El actor especificó el acceso como RDP y afirmó tener la misma cantidad de PC, lo que posiblemente significa que Black Basta compró este acceso para comenzar su ataque. El acceso se ofreció a la venta en forma de subasta, comenzando con una oferta de USD 1500 y se vendió el mismo día.
Movimiento lateral
Dos horas después de que Black Basta hablara por primera vez de ZircoDATA, se compartieron credenciales adicionales de ZircoDATA, aparentemente con diferentes usuarios del mismo recurso. Solo seis horas después, otro miembro de Black Basta compartió el mismo mensaje con la observación «HECHO», lo que posiblemente significa que la banda obtuvo acceso inicial a la red. Durante los días siguientes, los atacantes compartieron múltiples credenciales de ZircoDATA con varios servicios.
El 8 de febrero, los atacantes comentaron que necesitaban preparar una publicación en el blog para amenazar a la víctima, señalando que la exfiltración de datos y la implementación del ransomware se habían completado.
Reivindicando el ataque y filtrando los datos
El 22 de febrero de 2024, ZircoDATA fue publicada como víctima en el blog de Black Basta, probablemente después de negociaciones fallidas. En las publicaciones de su blog, se vio a Black Basta alardear de haber robado 395 GB de archivos de ZircoDATA. En mayo de 2024, se reveló que los datos incluían 4000 documentos del Centro Médico Monash, incluidos registros relacionados con clínicas de violencia familiar y apoyo sexual, y 60 000 documentos relacionados con estudiantes de Melbourne Polytechnic.
Recomendaciones
Este ejemplo resalta la importancia de cómo el monitoreo de las ventas de acceso a la red puede ayudar a prevenir un ataque mayor.
A pesar de los esfuerzos de KELA hasta la fecha, las organizaciones aún pueden estar en riesgo. Si desea confirmar si su empresa apareció en los chats de Black Basta, comuníquese con nuestro equipo de KELA.
El informe de Black Basta también está disponible aquí y la semana que viene podrás participar en un seminario web exclusivo, en el que Irina Nesterovsky, directora de investigación, analizará las últimas tácticas de Black Basta, su manual de ataque y lo que puedes hacer ahora mismo para mantenerte a la vanguardia. El enlace de registro estará disponible próximamente.
Acceda aquí al post completo.
