Nuevo ransomware desactiva los sistemas de seguridad
Perú.- CLM, distribuidor latinoamericano de valor agregado enfocado
en seguridad de la información, protección de datos, infraestructura para data centers y
cloud, advierte sobre nuevos ataques de ransomware que utilizan herramientas de evasión
EDR – Endpoint Detection and Response.
Se trata del ransomware Black Basta que ha utilizado técnicas, hasta ahora desconocidas,
capaces de deshabilitar sistemas de seguridad como Windows Defender, obteniendo
accesos privilegiados y camuflándose en el sistema.
El descubrimiento fue realizado por investigadores de Sentinel Labs, el laboratorio de
investigación de delitos digitales de SentinelOne, cuya solución para proteger contra
Ransomware y otros malwares se basa en inteligencia artificial.
El CEO de CLM, Francisco Camargo, explica que los investigadores de Sentinel Labs
describieron las tácticas, técnicas y procedimientos operativos de Black Basta en un informe
detallado que muestra la seriedad de los estudios publicados en el espacio abierto. «En su
análisis, los investigadores encontraron que Black Basta instala herramientas
personalizadas, sus ataques usan una versión encubierta de ADFind y explotan las
vulnerabilidades PrintNightmare, ZeroLogon y NoPac para escalar privilegios», comenta.
Además, añade el ejecutivo, los ciberdelincuentes inician sus ataques con un Qakbot,
entregado por correo electrónico y documentos de MS Office, que contienen macros,
cuentagotas ISO+LNK y documentos .docx que explotan la vulnerabilidad de ejecución
remota de código MSDTC, CVE-2022-30190. “Después de utilizar meticulosas técnicas de
piratería, incluida la de convertirse en el administrador del sistema con una contraseña
propia, borran sus huellas”, describe Camargo.
Black Basta mantiene e implementa herramientas personalizadas
En su informe, Sentinel Labs explica que Black Basta usa varios métodos para el movimiento
lateral, implementando diferentes scripts, en lotes, a través de Psexec en distintas máquinas
para automatizar la terminación de procesos y servicios y socavar las defensas. El
ransomware también se implementó en varias máquinas a través de Psexec.
En los análisis más recientes de Black Basta, Sentinel Labs observó un archivo por lotes
llamado SERVI.bat implementado a través de Psexec en todos los puntos finales de la
infraestructura de destino. Este script, instalado por el atacante, tiene como objetivo
eliminar servicios y procesos para maximizar el impacto del ransomware y eliminar ciertas
soluciones de seguridad.
El ransomware Black Basta surgió en abril de 2022 y ha invadido más de 90 organizaciones
hasta septiembre de 2022. La velocidad y el volumen de los ataques demuestran que los
actores detrás de Black Basta están bien organizados y cuentan con los recursos necesarios.
Según los investigadores de Sentinel Labs, aún no ha habido indicios de que Black Basta esté
reclutando afiliados o promocionándose como RaaS – Ransomware as a Service – en foros
de darknet o mercados de crimeware. Esto ha llevado a mucha especulación sobre el origen,
la identidad y el funcionamiento del grupo.
Las investigaciones indican que las personas detrás del ransomware Black Basta desarrollan
y mantienen su propio conjunto de herramientas y excluyen a los afiliados o solo colaboran
con un conjunto limitado y confiable de afiliados, similar a otros grupos de ransomware
"privados", como Conti, TA505 y Evilcorp.
Personajes conocidos detrás del nuevo ransomware
SentinelLabs evalúa que el desarrollador de estas herramientas de evasión de EDR
probablemente sea o haya sido el desarrollador de FIN7. Según los investigadores, el
ecosistema del crimeware está en constante expansión, cambio y evolución.
FIN7 (o Carbanak) frecuentemente se le atribuye haber abierto nuevos caminos en el
espacio criminal, llevando los ataques contra bancos y sistemas PoS a nuevos niveles, mucho
más allá de los esquemas de otros grupos.
“A medida que logramos arrojar luz detrás de la escurridiza operación de ransomware Black
Basta, no nos sorprendería encontrar una cara familiar detrás de esta ambiciosa operación.
Si bien hay muchas caras nuevas y diversas amenazas en el espacio del ransomware y la
extorsión dual, se espera que los equipos criminales profesionales existentes den su propio
giro para maximizar las ganancias ilícitas de nuevas maneras”, detalla.
Para obtener más informaciones acceda el sitio.