Barracuda full logo

El rápido colapso de Black Basta

Temas:
7 mar 2025
|
Christine Barry

Cuando perfilamos a Black Basta el pasado mayo, el grupo ya había extorsionado más de 107 millones de dólares a más de 329 víctimas. Acababa de llevar a cabo el gran ataque a Ascension Health, interrumpiendo 142 hospitales en 19 estados y Washington DC. El grupo parecía seguir fuerte hasta finales de 2024, pero las divisiones internas estaban mermando las operaciones. Las lealtades divididas resultaron en que algunos miembros atacaran objetivos rusos, lo cual está siempre prohibido por los grupos con base en Rusia. Otros estafaban a las víctimas recaudando pagos de rescate sin proporcionar claves de descifrado válidas, lo que se considera dañino para la reputación del grupo. Los ataques de alto perfil y la selección de objetivos contribuyeron aún más a la ruptura. El grupo parece haber cesado sus operaciones a partir del 11 de enero de 2025. No se conocen víctimas desde esa fecha, y los tres sitios web del grupo están fuera de servicio.

 

El sitio de filtración de datos de Black Basta y los sitios de chat siguen inaccesibles (Ransomware Live)

El sitio de filtración de datos de Black Basta y los sitios de chat siguen inaccesibles (Ransomware Live)

 

Eso es un colapso bastante significativo para uno de los grupos de ransomware más activos y sofisticados que han surgido en los últimos años. ¿Qué pasó?

La gran filtración

Podemos agradecer a una persona que se hace llamar 'ExploitWhispers' por la mayor parte de esta información. El 11 de febrero de 2025, ExploitWhispers filtró al público alrededor de 200,000 mensajes de chat internos de Black Basta. La identidad real de ExploitWhispers es desconocida, pero los analistas que estudiaron sus mensajes dicen que se refería predominantemente a sí misma como mujer, y su estilo de escritura y uso del lenguaje indicaban que no es hablante nativa de ruso. ExploitWhispers afirma que filtró los mensajes de chat porque Black Basta había “atacado brutalmente” la infraestructura bancaria rusa.

 

Traducción al inglés de la publicación de Telegram que filtra chats internos de blackbasta (Bleeping Computer)

Traducción al inglés de la publicación de Telegram que filtra chats internos de blackbasta (Bleeping Computer)

 

Los datos filtrados cubrieron comunicaciones que abarcan desde el 18 de septiembre de 2023 hasta el 28 de septiembre de 2024. Aunque la filtración ocurrió el 11 de febrero, no ganó atención generalizada hasta el 20 de febrero de 2025, cuando la firma de inteligencia de amenazas PRODAFT publicó breves detalles al respecto.

 

PRODAFT comenta sobre las filtraciones del chat interno de Black Basta

PRODAFT comenta sobre las filtraciones del chat interno de Black Basta

 

Los mensajes revelaron muchos detalles sobre la estructura del grupo y sus miembros clave. Se cree que Oleg Nefedov fue el líder principal, y se le vinculó con varios alias, incluidos "Tramp", "Trump", "GG" y "AA". Nefedov fue un miembro activo en Revil y Conti y está protegido por figuras políticas rusas de alto rango y las agencias FSB y GRU. Se considera que Nefedov es la fuerza detrás de la mayoría de los conflictos internos. Cabe señalar aquí que algunos analistas creen que los cuatro seudónimos mencionados anteriormente se refieren a más de una persona. Nadie parece disputar el papel de Nefedov.

El grupo tenía varios administradores, con "Lapa" y "YY" identificados como figuras clave involucradas en tareas administrativas y de apoyo. Se decía que Lapa estaba "mal pagado y degradado por su jefe", que se supone que era Nefedov.

 

 

El investigador de seguridad 3xport explica la dinámica entre Lapa y Nefedov

El investigador de seguridad 3xport explica la dinámica entre Lapa y Nefedov

 

Los chats también revelaron que uno de los afiliados tenía 17 años. Probablemente esto no ha sido confirmado, pero no debería sorprender. Menores han estado involucrados en hacking y ciberdelincuencia durante décadas. Un adolescente austriaco de 15 años fue arrestado después de hackear su camino en casi 260 empresas. Dijo que comenzó a hacer esto porque estaba aburrido.

Detalles técnicos sobre cargadores de malware personalizados, monederos de criptomonedas y direcciones de correo electrónico de afiliados fueron incluidos.

Los registros de chat mencionaron la explotación de 62 exploits únicos de vulnerabilidades comunes (CVE), incluyendo al menos diez CVE más antiguos, 'pero no olvidados'. Se discutieron tres CVE antes de su publicación oficial. Las discusiones en torno a estas vulnerabilidades destacan la naturaleza oportunista de la selección de objetivos basada en el acceso inicial con exploits.

El grupo mezcló herramientas ofensivas y defensivas para llevar a cabo ataques. ZoomInfo, ChatGPT, GitHub, Shodan, Metasploit y Cobalt Strike, están entre las herramientas y técnicas mencionadas en los chats. Las cargas útiles de malware se alojaron en plataformas de intercambio de archivos como transfer.sh y temp.sh.

Black Basta dependía en gran medida de las credenciales comprometidas de Remote Desktop Protocol (RDP) y VPN para el acceso inicial y el movimiento lateral. Estas credenciales a menudo se compraban en mercados clandestinos o se descubrían mediante ataques de relleno de credenciales utilizando bases de datos previamente comprometidas.

Las metodologías de ataque y las tácticas de acceso inicial fueron documentadas en los chats, y hubo informes de miembros clave que desertaban a Cactus y Akira. Esta información es un regalo para las fuerzas del orden y los investigadores de seguridad, como puedes imaginar.

El gran drama

Las filtraciones técnicas no son los mensajes más interesantes del grupo. La tensión interna aumentó cuando Black Basta monitoreó la interrupción causada por el ataque a Ascension Health. Un miembro compartió esta publicación de Reddit de una enfermera afectada por el ataque:

Trabajé ayer cuando todo comenzó. Fue una pesadilla. Solo ciertos ordenadores funcionaban hasta las 4 cuando todo el sistema se cayó. Nos pasamos frenéticamente a la documentación en papel, toda la documentación está ahora en carpetas de pacientes. … Varios departamentos están cerrados debido a la caída del sistema.

Los pacientes están siendo desviados a otros hospitales porque no podemos operar así (sin mencionar que nuestro hospital acaba de sufrir una inundación en el sótano esta semana).

Tengo miedo por mis pacientes y mi licencia. Me llevó 6 horas hacer que mi paciente pasara a cuidados paliativos y obtener órdenes de morfina. No puedo hacer seguimiento con los médicos ahora porque la comunicación está tan saturada.

Los miembros de Black Basta estaban preocupados por las consecuencias del ataque. Ejemplos:

  • GG: “El 100% del FBI y CISA están obligados a involucrarse, y todo esto ha llevado a que tomen medidas duras contra Black Basta. … No nos lavaremos de esto ahora y lo más probable es que el software termine en la basura,”
  • Tinker: “Si alguien, Dios no lo quiera, muere... tendremos los problemas sobre nuestras cabezas – esto se clasificará como un ataque terrorista. … No quiero ir al infierno si un niño con un defecto cardíaco muere.”
  • NN: “¿Puedo darles la desencriptación inmediatamente cuando la soliciten?”

El investigador de amenazas @BushidoToken interpretó toda la conversación como que Black Basta devolvió los datos de Ascension y eliminó las copias robadas sin cobrar un rescate. Parece que los miembros clave del grupo comenzaron a planear un cambio de marca debido a este ataque.

¿No hemos visto esto antes?

Pues sí, sí lo hemos hecho. El grupo de ransomware Conti, ahora confirmado como el "papá" de Black Basta, tuvo un colapso similar cuando sus chats internos, código fuente y otros datos sensibles fueron filtrados en febrero de 2022. Las filtraciones de Conti fueron orquestadas por un investigador de seguridad ucraniano en respuesta al apoyo público de Conti a la invasión de Ucrania por parte de Rusia. Conti se disolvió y sus miembros pasaron a formar Black Basta y otros grupos de amenazas. 

 

Cronología de actividades del grupo Conti

Cronología de la actividad del grupo Conti (Ransomware en vivo)

 

Este patrón de cierre, cambio de marca y resurgimiento es común en el ecosistema de ransomware. Aquí hay algunos ejemplos notables:

  • REvil apareció en abril de 2019, aproximadamente 1-2 meses antes del cierre de GandCrab en mayo de 2019.
  • BlackMatter surgió a finales de julio de 2021, aproximadamente 2,5 meses después del cierre de DarkSide en mayo de 2021.
  • Conti apareció en julio de 2020, coincidiendo con el declive gradual de Ryuk durante los siguientes 6-8 meses.
  • RansomCartel emergió en diciembre de 2021, aproximadamente 5 meses después de la desaparición inicial de REvil en julio de 2021.

Estas transiciones suelen ocurrir dentro de los 2-6 meses posteriores al declive o cierre del grupo predecesor, lo que permite una transferencia fluida de recursos y personal mientras se evitan las atenciones de las fuerzas del orden.

¿Volverá Black Basta y por qué debería importarte?

Parece poco probable que la marca Black Basta vuelva a estar activa pronto, pero puede producirse un cambio de marca o una derivación. La reciente inactividad de Black Basta sugiere que el grupo está cambiando a una nueva estrategia, y las conversaciones filtradas revelaron discusiones sobre el cambio de marca para evitar un escrutinio creciente. Ya se ha observado a afiliados que están haciendo la transición a grupos como Cactus y Akira, lo cual es algo que a menudo precede a un cambio de marca de un actor de amenazas importante. Y, francamente, es solo un estándar en la industria del ransomware cambiar de marca o fusionarse con otros actores de amenazas después de que una marca ha sido dañada. Incluso si no hay un cambio de marca, otros grupos surgirán para llenar el vacío dejado por el declive de Black Basta.

Entonces, ¿por qué importa esto, ya que sucede tan a menudo de todos modos? Para algunas empresas, no importa en absoluto. Sus defensas contra el ransomware no cambiarán mucho debido a un cambio de marca, y de todos modos no siguen a los actores de amenazas. Pero para los proveedores de seguridad y equipos de TI, comprender el ciclo de vida de estos grupos les ayudará a familiarizarse más con los métodos de ataque. Los grupos rebrandeados a menudo conservan las mismas tácticas y capacidades que el grupo anterior, pero los miembros han ganado experiencia por el éxito y el eventual fracaso de su grupo anterior. Utilizan el tiempo de inactividad entre marcas para perfeccionar sus operaciones y reclutar afiliados o talento en el nuevo grupo. Las filtraciones públicas, las acciones de las fuerzas del orden y la investigación de expertos en seguridad pueden ayudar a las empresas a mantenerse actualizadas sobre amenazas potenciales.

¿Sabías ...

El ransomware ha más que duplicado año tras año, y los atacantes están apuntando a organizaciones de todos los tamaños: nadie es inmune. Están empleando ataques cada vez más sofisticados y derrotando las defensas existentes. Y ahora, existe la nueva amenaza de ataques de ransomware impulsados por IA, que aumentará el número de ataques que enfrentan las organizaciones, así como la tasa de ataques exitosos. Barracuda puede ayudar.

 

EXPLORAR LA PROTECCIÓN CONTRA RANSOMWARE DE BARRACUDA

 

 

 

Christine Barry

Christine Barry, narradora principal de historias sobre ciberseguridad y gestora de contenidos en Barracuda. Antes de unirse a Barracuda, Christine fue ingeniera de campo y gestora de proyectos para clientes de K12 y PYMES durante más de 15 años. Posee varias credenciales en tecnología y gestión de proyectos, una licenciatura en Artes y un Máster en Administración de Empresas. Es graduada de la Universidad de Míchigan.

Conéctate con Christine en LinkedIn aquí.

 

¡Únete a nuestra comunidad de Reddit!

Publicaciones relacionadas:
SafePay: bombas de correo electrónico, estafas telefónicas y rescates muy elevados
SafePay: bombas de correo electrónico, estafas telefónicas y rescates muy elevados
 El ransomware Qilin está creciendo, pero ¿cuánto tiempo durará?
El ransomware Qilin está creciendo, pero ¿cuánto tiempo durará?
 Limpiar, filtrar, extorsionar: El loco cuaderno de tácticas híbridas del ransomware Anubis
Limpiar, filtrar, extorsionar: El loco cuaderno de tácticas híbridas del ransomware Anubis
 Cartel de Ransomware DragonForce contra todos
Cartel de Ransomware DragonForce contra todos
Busque en el blog

Informe de Barracuda sobre Ransomware 2025

Principales conclusiones sobre la experiencia y el impacto del ransomware en las organizaciones de todo el mundo

Obtener el informe

Suscríbase al blog de Barracuda.

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Seguridad de vulnerabilidades gestionada: corrección más rápida, menos riesgos, cumplimiento normativo más fácil 

Descubra lo fácil que es encontrar las vulnerabilidades que los ciberdelincuentes quieren explotar.

VER EL SEMINARIO WEB

Sign up to receive threat spotlights, industry commentary, and more.

Get all the latest news, research, and analysis delivered right to your inbox.