Así opera Black Basta, el nuevo y peligroso grupo de ransomware

Solo tienen dos meses de vida, pero este nuevo colectivo de ciberdelincuentes ha atacado medio centenar de organizaciones exitosamente.

Alberto Payo

Periodista

Guardar

Ransomware cifrado.
Ransomware cifrado.

Hay unos nuevos chicos malos en la ciudad. Se les conoce como "Black Basta" y en su poco tiempo de actividad han dejado tantas víctimas como otros malos del ciberespacio. 

Este recién creado grupo de ransomware lleva dos meses en activo y ya ha atacado con éxito a 50 organizaciones. Así lo aseguran los expertos de Cybereason en su blog MaliciousLife. 

Aunque surgió en abril, sus operaciones se remontarían a febrero. No obstante, en aquel momento la amenaza aun no tenía nombre, sugiriendo que todavía estaba en desarrollo. 

El 20 de abril un usuario llamado BlackBasta publicó en foros clandestinos una post destinado a comprar y monetizar el acceso a una red corporativa a cambio de compartir sus ganancias. 

Esta publicación, escrita en ruso, también señalaba que estaban buscando organizaciones con sede en EE.UU., Canadá, Reino Unido, Australia y Nueva Zelanda. Es decir, sugería que sus principales objetivos eran de habla inglesa. 

Black Basta, al igual que otras pandillas de ransomware surgidas en los últimos años, usa la técnica de la doble extorsión. Se hace con archivos e información confidencial de sus víctimas y los usan para chantajear a las víctimas, amenazándolas de publicarlos si no pagan el rescate. 

Parece que el grupo no se conforma con limosna y está pidiendo elevadas cantidades a sus víctimas, con rescates de millones de dólares.

Un ransomware muy peligroso

Los investigadores de Cybereason han categorizado el nivel de amenaza del ransoware como 'Alto' por el potencial destructivo de sus ataques. BlackBasta apunta a máquinas virtuales VMwar ESXi que se ejecutan en servidores empresariales Linux. 

A principios de junio se conoció que el grupo de cibermalos se había asociado con la operación de malware QBot para difundir su ransomware, algo que también habían hecho en el pasado otros actores de amenazas destacados en este ámbito, como MegaCortex, ProLock, DoppelPaymer, Conti y Egregor, según afirma Cybereason.

Algunos investigadores sospechan que Black Basta podría tener algunos vínculos con el grupo de ransomware Conti, en parte por sus similitudes de su sitio en Tor, su nota de rescate y su pasarela de pagos del mismo, así como por su modus operandi.