 |
|
|
CLM, distribuidor latinoamericano enfocado en seguridad de la información, advirtió sobre ciberataques que utilizan herramientas de evasión ‘Endpoint Detection and Response’ (EDR). Se trata del Ransomware Black Basta, que ha utilizado técnicas capaces de deshabilitar sistemas de seguridad como Windows Defender, obteniendo accesos privilegiados y camuflándose en el sistema.
El descubrimiento fue realizado por investigadores de Sentinel Labs, el laboratorio de investigación de delitos digitales de SentinelOne, cuya solución para proteger contra Ransomware y otros malwares se basa en Inteligencia Artificial (IA).
Francisco Camargo, CEO de CLM, comentó que los investigadores de Sentinel Labs describieron las tácticas, técnicas y procedimientos operativos de Black Basta en un informe detallado que muestra la seriedad de los estudios publicados en el espacio abierto. “En su análisis, los investigadores encontraron que Black Basta instala herramientas personalizadas, sus ataques usan una versión encubierta de ADFind y explotan las vulnerabilidades PrintNightmare, ZeroLogon y NoPac para escalar privilegios”, señaló el ejecutivo.
Además, Camargo añadió que los ciberdelincuentes inician sus ataques con un Qakbot, entregado por correo electrónico y documentos de MS Office, que contienen macros, cuentagotas ISO+LNK y documentos .docx que explotan la vulnerabilidad de ejecución remota de código MSDTC, CVE-2022-30190.
En su informe, Sentinel Labs explica que Black Basta usa varios métodos para el movimiento lateral, implementando diferentes scripts, en lotes, a través de Psexec en diferentes máquinas para automatizar la terminación de procesos y servicios y socavar las defensas. El Ransomware también se implementó en varias máquinas a través de Psexec.
El Ransomware Black Basta surgió en abril de 2022 y ha invadido más de 90 organizaciones hasta septiembre de 2022. La velocidad y el volumen de los ataques demuestran que los actores detrás de Black Basta están bien organizados y cuentan con los recursos necesarios.
Las investigaciones también indican que las personas detrás del Ransomware Black Basta desarrollan y mantienen su propio conjunto de herramientas, excluyendo o solo colaborando con un conjunto limitado y confiable de afiliados, similar a otros grupos de Ransomware “privados”, como Conti, TA505 y Evilcorp.
SentinelLabs sospecha que el creador de estas herramientas de evasión de EDR probablemente sea o haya sido parte del grupo de hackers FIN7, al cual se le atribuye haber abierto nuevos caminos en el espacio criminal, llevando los ataques contra bancos y sistemas PoS a nuevos niveles.
|
