Alguien ha filtrado chats internos entre miembros de
Black Basta, lo que pinta un panorama de un grupo de amenazas en graves dificultades.
Black Basta es una operación de ransomware como servicio (RaaS) en ruso que
apareció en abril de 2022. Después de surgir en el vacío dejado por Conti
(con la ayuda de la adopción de algunos de sus miembros), pasó a victimizar a
cientos de organizaciones en todo el mundo.
El hecho de que Black Basta fuera tan prolífico lo hizo aún más extraño
cuando, a finales del año pasado, su actividad se desplomó. Según la empresa
de ciberinteligencia Prodaft, sus campañas disminuyeron de forma constante en
los meses posteriores al verano de 2024, y sus últimas operaciones conocidas
ocurrieron en diciembre.
A veces, los actores de amenazas se quedan en silencio cuando se enfrentan al
escrutinio de las fuerzas del orden o tal vez preparan algún nuevo malware o
campaña de gran envergadura. Ninguno de los dos parece ser el caso de Black
Basta. En cambio, como muestran los
registros de chat recientemente
filtrados, el grupo parece estar luchando con un drama interno sobre el
comportamiento de ciertos miembros y ciertos ataques muy controvertidos.
«Estas filtraciones contradicen la imagen de Black Basta como un cártel de
ransomware altamente eficiente, exponiendo debilidades críticas en sus
operaciones, incluyendo frecuentes fallas técnicas, problemas de
implementación de malware y maniobras de último minuto antes de los
ataques», dice Christiaan Beek, director sénior de análisis de amenazas de Rapid7.
Entre bastidores de Black Basta
El 11 de febrero, un usuario de Telegram con el nombre
«ExploitWhispers» filtró chats de Black Basta en ruso compartidos a
través del protocolo de comunicaciones descentralizado y de código abierto
Matrix. Los registros contienen mensajes que abarcan aproximadamente un año,
desde el 18 de septiembre de 2023 hasta el 28 de septiembre de 2024.
Aunque la identidad del filtrador sigue siendo un misterio, parece que lo que
lo motivó fue la venganza por la decisión de Black Basta de atacar
«brutalmente» la infraestructura bancaria rusa.
Ese sentimiento lo compartía un individuo asociado tanto con Black Basta como
con Qakbot, que se hace llamar «Cortes». Black Basta ha hecho un uso
frecuente de Qakbot, pero Cortes parece haberse excluido a sí
mismo y, por extensión, a la botnet Qakbot de esos ataques, «probablemente
sorprendido» de que los rusos atacaran a organizaciones en su propio país.
Según el relato de ExploitWhispers, el grupo aún no ha enfrentado
ninguna reacción negativa por parte de las fuerzas de seguridad rusas, pero
existe una preocupación persistente sobre la posibilidad de que ocurra.
Los ataques contra los bancos rusos pueden haber sido un síntoma de un
problema más profundo desde arriba. ExploitWhispers retrató al líder
del grupo, Oleg Nefedovaka (también conocido como GG, AA y Trump), como quien
lleva a cabo operaciones para su propio beneficio financiero, «sin tener en
cuenta los intereses del equipo». Y aunque algunos miembros parecen bastante
felices, otros se han ofendido con el reinado de Nefedovaka. «Lapa»,
por ejemplo, uno de los principales administradores del grupo, es descrito
como demasiado ocupado, estresado, mal pagado y «a menudo insultado» por su
jefe.
La cosa no termina ahí. Un miembro del grupo, «Tramp» (también conocido
como «Larva-18»), ha sido la causa de algunos problemas indefinidos. Y
han surgido conflictos porque algunos miembros no han cumplido sus promesas a
las víctimas y han aceptado pagos de rescate sin proporcionar a cambio
descifradores funcionales.
Miembros clave
-
Se puede inferir que GG, AA y Trump son todos alias
utilizados por Oleg Nefedov, el jefe del grupo. -
Lapa es uno de los administradores clave de Black Basta y está
constantemente ocupado con tareas administrativas. Ocupando este puesto de
alta confianza, Lapa es frecuentemente insultado por su jefe, quien insiste
en exigir cambios importantes. El papel le causa un estrés significativo a
Lapa, pero gana una remuneración significativamente menor en comparación con
otros miembros del grupo. Parece que los pagos de rescate podrían ser una
fuente adicional de ingresos para él para mantener a su familia durante
estos tiempos difíciles. Bajo su administración, hubo un ataque de fuerza
bruta a la infraestructura de algunos bancos rusos. Hasta ahora, las fuerzas
del orden no parecen haber tomado medidas, lo que sugiere que esta situación
podría plantear un problema grave y potencialmente provocar reacciones de
estas autoridades. -
Cortes está asociado con el grupo Qakbot, que tuvo tratos con
estadounidenses el año pasado, lo que probablemente atrajo la atención de
los servicios de inteligencia. Cuando Black Basta llevó a cabo estos ataques
a los bancos rusos, Cortes se distanció de estas acciones, probablemente
sorprendido de que este grupo ruso atacara a su propio país. Esta podría ser
la razón por la que Qakbot no participó en los ataques contra Rusia. -
YY también es un administrador principal de Black Basta, aparentemente
muy ocupado con tareas de soporte y recibe un buen salario. La detención del
líder de Black Basta crea riesgos significativos para los miembros restantes
del grupo. Resulta que los intereses financieros personales de Oleg, el jefe
del grupo, dictan las operaciones, haciendo caso omiso de los intereses del
equipo. Bajo su administración, también hubo un ataque de fuerza bruta a la
infraestructura de algunos bancos rusos. -
Cuando Trump y Bio trabajaron juntos en Conti, las disputas
sobre cuestiones de tarifas eran comunes. Bio recibe un salario más alto en
su puesto actual para continuar manejando riesgos de tan alto nivel. Bio
cambió su apodo de Bio a Pumba mientras trabajaba en Conti, pero
ahora ha vuelto a su antiguo apodo anterior. El reciente arresto de Bio y el
trato que recibió por parte de la policía probablemente causaron
preocupación entre los miembros del grupo Black Basta.
Algunos chats
En cuanto a las filtraciones de Black Basta,
VX-Underground las ha revisado. Son muchos mensajes en formato JSON y con algo de jerga rusa que dificulta
su traducción precisa:
-
En algún lugar de la conversación, los miembros de Black Basta hablan sobre
el grupo de ransomware Lockbit. Creen que no se puede confiar en él. -
En la conversación, se habla del grupo de ransomware Dispossessor.
Dispossessor quiere unirse a Black Basta. Uno de los miembros,
«Hshsi Jdidi», dice que cree que Dispossessor tiene un «buen
currículum», pero piensa que solo quiere trabajar con ellos por su «fama».
También expresan su preocupación de que Dispossessor pueda ser un agente de
la ley. Expresan su preocupación por las eliminaciones de Lockbit, Conti y
otros. - Uno de los afiliados de Black Basta es menor de edad. Tiene 17 años.
-
Están extremadamente interesados en los exploits de VPN. Hacen todo lo
posible para adquirir, comprar o encontrar personas capaces de distribuir
exploits de VPN. -
Alguien quiere concederles acceso (o vendérselo) a su cargador privado por
el coste de 84.000 dólares al mes. -
Tras el éxito de Scattered Spider, Black Basta ha comenzado a incorporar
ingeniería social en sus operaciones. Tienen una persona llamada
«Nur» que es responsable de identificar al personal clave en las
organizaciones a las que quieren atacar. Una vez que se identifica a una
persona influyente (gerente, RR.HH., etc.) se ponen en contacto con ella por
teléfono. -
Black Basta mantiene una hoja de cálculo de las víctimas a las que intentan
atacar. Se comparte entre los miembros y colaboran en ella. Tiene la persona
de interés, si han intentado aplicarle ingeniería social, y notas generales
sobre la estrategia. A menudo identifican múltiples objetivos en las
empresas. -
El que llama y se comunica con las víctimas tiene la tarea de que el
empleado instale herramientas de
«Remote Monitoring and Management». Una vez que se instala la
aplicación, comienzan a trabajar (eventualmente). -
Los objetivos no se seleccionan al azar. Black Basta tiene un inmenso interés
en empresas eléctricas, empresas de la cadena de suministro industrial
(acero, madera, reciclaje, suministros generales) y empresas de gestión
fiscal o financiera (empresas que administran las finanzas de otras
empresas). -
Su flujo de trabajo está bastante bien documentado. Sin embargo, debido a
que estas filtraciones son de 2023 a 2024, es posible que estén
desactualizadas. Esta es la idea general: -
Paso 1: Hacer que la víctima ejecute el archivo .HTA malicioso. El archivo
.HTA se envía desde un enlace de descarga enmascarado, ingeniería social o
un correo electrónico malicioso enmascarado. -
Paso 2: El archivo .HTA suelta un archivo .BAT o .EXE que contiene
comandos para conectarse a su servidor C2. -
Paso 3: El servidor C2 tiene un archivo .JS que luego puede entregar un
archivo de carga útil real que permite la implementación de ransomware o
herramientas para acceso remoto.
¿La caída de Black Basta?
El declive de Black Basta se ve acentuado por lo poderoso que era en esta
misma época el año pasado. El grupo ha cobrado más de 500 víctimas y ha
disfrutado de acceso a inmensos recursos.
«Esto es asombroso», dice Beek mientras revisa los datos filtrados durante una
llamada de Zoom con
Dark Reading.
«Veo aquí, frente a mí, que compraron un día cero de Ivanti que les costó
200.000 dólares. La cantidad de efectivo que tenían y la cantidad de armas
cibernéticas que podían comprar para ampliar su operación es realmente
interesante».
Pero todas estas luchas internas han tenido un impacto significativo en la
viabilidad del grupo en el futuro. «Hemos estado monitoreando las señales de resurgimiento, pero en lugar de
reagruparse, las disputas internas llevaron a algunos miembros a
desertar», dice el director de inteligencia de Prodaft, Halit Alptekin. Los antiguos
miembros de Black Basta se han pasado a otros grupos importantes como Cactus y
Akira. Como él mismo dice,
«esto marcó el comienzo de la caída de Black Basta».
Es posible que en los próximos días surjan más datos sobre Black Basta a
medida que los analistas sigan examinando todos los pequeños detalles
operativos y maliciosos enterrados en los registros de chat.
«Desde el punto de vista de la inteligencia de amenazas y la aplicación de
la ley, estas filtraciones son invaluables. Ofrecen información profunda
sobre las tácticas, técnicas y procedimientos (TTP) de Black Basta, los
flujos de trabajo operativos, los métodos de comunicación y los servicios de
los que dependen. Comprender estos elementos es crucial tanto para
desbaratar las redes cibercriminales como para anticipar sus próximos
movimientos».
Fuente:
Dark Reading