Barracuda full logo

Lecciones del colapso de Black Basta

Temas:
2 feb 2026
|
Christine Barry

Cómo los chats filtrados, la presión de las fuerzas del orden y la migración de afiliados expusieron la resiliencia del ecosistema de ransomware

Conclusiones

  • El colapso de Black Basta acabó con un nombre, no las capacidades criminales subyacentes, que reaparecieron rápidamente mediante de la migración de afiliados y la reutilización de código.
  • Los datos operativos filtrados fortalecen significativamente las investigaciones. Correlacionar los registros de chat con los informes de las víctimas, los datos de blockchain y las líneas de tiempo de intrusión convirtió la inteligencia fragmentada en evidencia procesable para las fuerzas del orden.
  • Los ataques a la atención médica aceleran el escrutinio y las consecuencias. Los ataques a infraestructuras críticas cambian el cálculo de riesgo tanto para los actores de amenazas como para los defensores.

 

Black Basta (BlackBasta, Blackbasta, Basta, Vengeful Mantis) fue una marca de ransomware de primer nivel hasta su colapso a principios de 2025. El grupo recaudó al menos 107 millones de dólares en pagos de ransomware (basado en el rastreo de blockchain) desde sus primeras operaciones en 2022 hasta finales de 2023. Black Basta fue una prioridad para las fuerzas del orden a nivel mundial durante años antes de su desaparición, y los investigadores han continuado buscando pistas y pruebas para llevar a los miembros del grupo ante la justicia. Los titulares recientes revelan que este trabajo está dando resultados.

El grupo es ampliamente considerado como una reconfiguración o derivación del grupo de ransomware Conti, que desapareció en mayo de 2022. Los analistas observaron fuertes coincidencias en las herramientas y operaciones de los dos grupos, y el rastreo de blockchain mostró posteriormente varios millones de dólares que fluían desde billeteras vinculadas a Conti hacia billeteras controladas por Black Basta. Los investigadores descubrieron que un ciudadano ruso conocido por alias como "GG", "Tramp", "Trump" y "AA" era un miembro clave de Conti y probablemente el fundador de Black Basta.

Black Basta era un clúster cerrado de ransomware como servicio (RaaS) de alta gama. Un clúster es una red de especialistas y socios coordinados en torno a una marca, en lugar de una operación de RaaS autónoma. Esta distinción es importante porque un clúster puede "colapsar" como marca con una interrupción mínima para las amenazas planteadas por sus miembros. Las capacidades subyacentes de un clúster son portátiles, y las mismas herramientas y tácticas pueden reaparecer rápidamente bajo nuevas marcas.

Los informes públicos sitúan el debut de Black Basta en abril de 2022, poco antes de que Conti cesara sus operaciones. El grupo tuvo aproximadamente 100 víctimas en sus primeros siete meses y más de 500 víctimas en todo el mundo para cuando atacó a Ascension en mayo de 2024.

Black Basta era conocido por atacar a grandes empresas e infraestructuras críticas, pero Ascension fue un evento decisivo para el grupo porque aumentó rápidamente el entorno de riesgo para el grupo. El ataque interrumpió las operaciones en alrededor de 140 hospitales en 19 estados de EE. UU. y Washington, D.C., obligando a un rápido retorno a los flujos de trabajo en papel y desvíos de ambulancias mientras el personal luchaba por conseguir la aprobación de órdenes básicas.

Black Basta publicó su última víctima en su sitio de filtraciones en enero de 2025 . En febrero, un actor desconocido bajo el nombre de "ExploitWhispers" filtró un enorme caché de registros de chat internos que cubren finales de 2023-2024 . Para marzo de 2025, Black Basta se consideraba inactivo, aunque se vieron sus tácticas y herramientas en uso por otras marcas.

 

ExploitWhispers anuncia la filtración de chats internos de Black Basta, a través de Bleeping Computer

El colapso de Black Basta

Los chats filtrados muestran tensiones que surgen en la segunda mitad de 2024:

  • Algunos ataques de Black Basta tuvieron fallos técnicos con el cifrado ,lo que hizo imposible descifrar los archivos aunque se pagara el rescate.
  • La interrupción de QakBot en agosto de 2023 interrumpió un importante canal de distribución de Black Basta. El grupo tuvo dificultades para encontrar o construir un reemplazo durante casi un año.

 

A Black Basta le llevó un año desarrollar Pikabot después de la eliminación de Qakbot, a través de Trellix.

 

GG hace planes para abandonar la marca Black Basta, a través de esentire

¿Qué ocurrió después?

No todos los que trabajaban con Black Basta se habrían visto afectados por el colapso. Los intermediarios de acceso inicial (IABs), los proveedores de alojamiento a prueba de balas y otros proveedores de *-as-a-Service o trabajadores 'por encargo' habrían seguido operando sin apenas interrupciones. Los investigadores especulan que los miembros y afiliados de Black Basta se unieron a los grupos de ransomware CACTUS y SafePay.

SafePay fue observado por primera vez en septiembre de 2024, aunque no reclamó ninguna víctima hasta noviembre de ese año. La actividad del grupo y el número de víctimas crecieron en 2025, y sus herramientas y tácticas son similares a las utilizadas por Black Basta y Conti. SafePay no es una plataforma RaaS y probablemente solo habría absorbido a los actores de amenazas más fuertes de Black Basta.

 

Recuento de víctimas de SafePay por mes y año, a través de Ransomware.live

SafePay sigue activo desde el 26 de enero de 2026.

CACTUS fue descubierto en marzo de 2023 y operó simultáneamente con Black Basta. Este grupo también tenía tácticas y herramientas similares a las utilizadas por Black Basta y Conti, así como otros grupos. CACTUS fue visto por última vez el 21 de marzo de 2025 y ahora se considera inactivo.

No parece haber evidencia directa que vincule a los miembros de Black Basta con ninguno de los grupos, pero hay evidencia que vincula a GG con al menos un miembro de Cactus.

 

GG confirmando que pagó a 'MG', también conocido como CACTUS, a través de Trellix.

Investigación en curso

Mientras Black Basta se retiraba, los investigadores estaban encontrando múltiples capas de evidencia forense que vinculaban identidades con marcas, ubicaciones y ataques. Los primeros informes muestran que se están extrayendo tipos clave de datos de estos mensajes:

 

GG discute la compra de un exploit de día cero, a través de LevelBlue

Los chats filtrados proporcionaron detalles sobre carteras, herramientas, marcas de tiempo, etc., pero fue la correlación con las divulgaciones y los informes de las víctimas lo que convirtió los datos en pruebas reales. La correlación de carteras ayuda a rastrear pagos e infraestructuras de retirada de efectivo, mientras que la correlación de líneas de tiempo y tácticas ayuda a relacionar la actividad del chat con intrusiones específicas. En el caso del ataque a Ascension, los chats mostraron que GG estuvo involucrado en discusiones de acceso previas al ataque y en la ‘extinción de incendios’ posterior al ataque. Al combinar lo que se sabe sobre el ataque a Ascension con lo que se encuentra en los mensajes durante el ataque, los investigadores pueden demostrar que GG sabía sobre el ataque planificado a Ascension.

Esta es la razón por la que es tan importante que las víctimas denuncien los ataques a las autoridades. Cada informe de incidente es una evidencia.

¿Qué hay de nuevo?

En agosto de 2025, la policía ucraniana registró una residencia, incautó pruebas e interrogó a un sospechoso descrito como un "crypter", alguien cuyo trabajo era ayudar a garantizar que el malware utilizado evadiera la detección del antivirus. El estado legal de este sospechoso no está claro.

La acción policial más reciente tuvo lugar en múltiples frentes en enero de 2026. Los investigadores en Ucrania registraron las casas de dos sospechosos acusados de realizar trabajos de “hash-cracker” para Black Basta. La policía también incautó dispositivos de almacenamiento digital y activos de criptomonedas, lo que, con suerte, contribuirá a las investigaciones en curso. Los nombres de los sospechosos no han sido divulgados.

 

 

La policía registra la casa del sospechoso y confisca activos digitales, a través de la Ciberpolicía de Ucrania.

La policía detiene al sospechoso, a través de la Oficina del Fiscal General de Ucrania.

Mientras tanto, la fuerza policial federal de Alemania identificó públicamente a Oleg Evgenievich Nefedov como GG y anunció que es buscado en relación con la actividad de Black Basta. Nefedov era conocido por nosotros antes, pero ahora ha sido añadido a la lista de los más buscados de la UE de Europol y se ha emitido una Notificación Roja de INTERPOL.

 

Oleg Evgenievich Nefedov incluido en la lista de los más buscados de la UE por Europol

¿Qué es lo siguiente?

Sabemos que se llevará a cabo una exhaustiva investigación forense sobre los activos incautados en las redadas de enero. Si se suman a otras pruebas, es posible que encontremos información sobre otros grupos, o al menos sobre más miembros del grupo Black Basta.

Este es un ejemplo clásico de cómo una amenaza sobrevive incluso después de que se cambie el nombre de la marca. Las empresas deben mantener prácticas de seguridad disciplinadas. Por ejemplo:

  • Utilizar autenticación multifactor (MFA) resistente al phishing siempre que sea posible.
  • Bloquear el acceso remoto (RDP/VPN) y las herramientas de administración.
  • Parchear los sistemas expuestos a internet lo antes posible.
  • Supervisar el abuso de identidad y la actividad inusual del servicio de asistencia.
  • Mantener copias de seguridad offline/inmutables con pruebas de restauración.

También es importante que las empresas y los individuos denuncien rápidamente los incidentes de ciberataques. Cada detalle conocido es una evidencia que puede ayudar a las fuerzas del orden a perseguir a estos criminales.

 

¿Sabía que ...

Solo Barracuda proporciona protección multifacética que cubre todos los vectores de amenaza principales, protege sus datos y automatiza la respuesta ante incidentes. La plataforma potenciada por IA BarracudaONE protege tu correo electrónico, datos, aplicaciones y redes, y está fortalecida por un servicio XDR gestionado 24 horas al día, 7 días a la semana. Unifica sus defensas de seguridad y proporciona una detección y respuesta de amenazas profunda e inteligente. Visite nuestro sitio web para ver cómo puede ayudarle a proteger tu negocio.

 

DESCUBRA CÓMO BARRACUDA PUEDE AYUDAR A MAXIMIZAR LA CIBERRESILIENCIA
Christine Barry

Christine Barry, narradora principal de historias sobre ciberseguridad y gestora de contenidos en Barracuda. Antes de unirse a Barracuda, Christine fue ingeniera de campo y gestora de proyectos para clientes de K12 y PYMES durante más de 15 años. Posee varias credenciales en tecnología y gestión de proyectos, una licenciatura en Artes y un Máster en Administración de Empresas. Es graduada de la Universidad de Míchigan.

Conéctate con Christine en LinkedIn aquí.

 

¡Únete a nuestra comunidad de Reddit!

Publicaciones relacionadas:
Informe de Google: Más vulnerabilidades de día cero que afectan a las empresas
Informe de Google: Más vulnerabilidades de día cero que afectan a las empresas
 El ataque a Notepad++ y los nuevos riesgos en la cadena de suministro
El ataque a Notepad++ y los nuevos riesgos en la cadena de suministro
 Sandworm: La brigada rusa que destruye infraestructuras a nivel global
Sandworm: La brigada rusa que destruye infraestructuras a nivel global
 Tecnología automovilística: Una nueva y vasta superficie de ciberataques
Tecnología automovilística: Una nueva y vasta superficie de ciberataques
Busque en el blog

Informe sobre brechas de seguridad del correo electrónico 2025

Principales hallazgos sobre la experiencia y el impacto de las brechas de seguridad del correo electrónico en organizaciones de todo el mundo

Obtener el informe

Suscríbase al blog de Barracuda.

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Informe sobre perspectivas de clientes MSP 2025 

Una perspectiva global sobre lo que las organizaciones necesitan y desean de sus proveedores de servicios gestionados de ciberseguridad.

Obtener el informe

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Reciba en su bandeja de entrada todas las últimas noticias, estudios y análisis.