Agencia Nacional de Aduanas bajo ataque
Autor: Hugo Galilea
La Agencia Nacional de Aduanas es víctima de un ciberataque, ya contenido según sus declaraciones, del grupo Black Basta.
Como siempre es bueno conocer al enemigo, les entregamos información sobre el grupo criminal que organiza o permite estos ciber ataques. Decimos permite, dado que cae en la categoría de RAAS, Ransomware as a Service.
¿Quienes son Black Basta?
Black Basta (2022) es un operador de ransomware y empresa criminal de ransomware como servicio (RaaS) que se ha convertido en uno de los actores de amenazas RaaS más activos del mundo, acumulando 20 víctimas empresariales destacadas y +100 víctimas confirmadas en sus primeros meses de operación. Black Basta se dirige a organizaciones de Estados Unidos, Japón, Canadá, Reino Unido, Australia, Nueva Zelanda y ahora Chile (atentos) con ataques muy selectivos, en lugar de emplear un enfoque de «disparar a la bandada». Utilizan la extorsión como prinicipal fuente de ingreso, con una doble táctica, cifrando los datos críticos y los servidores vitales de sus víctimas y amenazando con publicar los datos sensibles en el sitio público de filtraciones del grupo.
Se cree que el núcleo de miembros de Black Basta surgió del desaparecido grupo de actores de amenazas Conti debido a las similitudes en su enfoque del desarrollo de malware, los sitios de filtraciones y las comunicaciones para la negociación, el pago y la recuperación de datos. También se ha vinculado a Black Basta con el actor FIN7 (alias Carbanak) por las similitudes en sus módulos de evasión de detección y respuesta de puntos finales (EDR) y el uso coincidente de direcciones IP para operaciones de mando y control (C2).
Cómo funciona un ataque Black Basta
En las primeras campañas, los ataques de Black Basta comenzaban con campañas de spear-phishing muy selectivas para obtener acceso inicial. En abril de 2022, el grupo comenzó a anunciar su intención de comprar acceso a redes corporativas y compartir los beneficios con agentes de acceso inicial (IAB) afiliados. Tras obtener el acceso inicial, Black Basta despliega una serie de tácticas de segunda fase para adquirir credenciales de dominio de Windows y penetrar lateralmente en la red de un objetivo, robar datos confidenciales y desplegar ransomware.
Para lograr los objetivos de la segunda etapa, Black Basta utiliza un conjunto diverso de tácticas, incluido el uso del robador QakBot (también conocido como QBot o Pinkslipbot), MimiKatz, y el aprovechamiento de la API nativa de Windows Management Instrumentation (WMI) para la recolección de credenciales, a continuación, utiliza comandos Powershell y PsExec para obtener acceso a puntos finales de red adyacentes utilizando las credenciales extraídas. Black Basta también puede explotar las vulnerabilidades ZeroLogon, NoPac y PrintNightmare para escalar privilegios locales y de dominio activo de Windows. Para el control remoto C2 de los sistemas infectados, Black Basta instala Cobalt Strike Beacons, utiliza SystemBC para el proxy C2 y la herramienta Rclone para la exfiltración de datos.
La fase de cifrado de un ataque de Black Basta comienza con la desactivación de los productos antivirus, la ejecución remota de una carga útil de cifrado a través de PowerShell y la eliminación de las instantáneas del sistema mediante el programa vssadmin.exe. A partir de ahí, Black Basta ejecuta una carga útil de ransomware personalizada que ha sufrido al menos un cambio de versión significativo desde que se observó por primera vez. La primera versión del módulo de cifrado de Black Basta era similar al ransomware Conti. En cambio, la segunda versión mejorada utiliza una gran ofuscación y nombres de archivo aleatorios para eludir los productos EDR y ha sustituido el uso de los algoritmos de la biblioteca aritmética de precisión múltiple de GNU (GMP) por la biblioteca de cifrado Crypto++. El módulo de cifrado de Black Basta 2.0 utiliza el algoritmo XChaCha20 para el cifrado simétrico, un par de claves únicas de Criptografía de Curva Elíptica (ECC) para cifrar y anteponer la clave simétrica junto con la clave pública ECC para descifrarla y con un nonce a los datos del archivo cifrado.
Black Basta también ha utilizado otras técnicas distintas en sus ataques, como deshabilitar los servicios DNS del sistema comprometido para complicar el proceso de recuperación impidiendo que acceda a Internet y desplegar una variante de ransomware dirigida a máquinas virtuales (VM) VMware ESXi basadas en Linux.
Cuales son las Señales de un ataque Black Basta
Las primeras versiones del ransomware Black Basta eran más fáciles de detectar que su segunda iteración más evasiva, que implementa la ofuscación de cadenas y nombres de archivo aleatorios para evitar los métodos de detección estática utilizados por los productos antivirus estándar.
Los ataques del ransomware Black Basta añaden una extensión .basta o ransom a los archivos cifrados y crean una nota de rescate «readme.txt» en el escritorio de la víctima que contiene un enlace a su sitio de filtraciones donde se publican los datos robados. Otra forma de distinguir un ataque de Black Basta de otros ataques de ransomware es examinando el principio de cada archivo cifrado, ya que Black Basta utiliza un novedoso esquema de cifrado que antepone a cada archivo una clave pública efímera NIST P-521 única de 133 bytes seguida de una clave XChaCha20 de 32 bytes, un nonce de 24 bytes y un HMAC de 20 bytes. A esto le sigue un relleno de bytes nulos de longitud variable y un identificador de campaña único de 12 bytes antes del inicio del material del archivo cifrado.
Cómo prevenir un ataque Black Basta
La prevención de un ataque Black Basta depende de la implementación de un programa integral de ciberseguridad empresarial que incluya tácticas defensivas para evitar que los atacantes obtengan el acceso inicial, la implementación de productos avanzados de seguridad para puntos finales y el mantenimiento de una estrategia eficaz de copias de seguridad que permita una rápida recuperación tras un ataque de ransomware con éxito.
Las tácticas para protegerse contra un ataque Black Basta incluyen:
- Considerar la formación de concienciación de los usuarios para educar al personal sobre las técnicas de phishing y desarrollar procedimientos operativos estándar (SOP) para el manejo de correos electrónicos y documentos sospechosos.
- Revisar los controles de seguridad de red relativos a la TTP conocida de Black Basta y prepararse para detectar firmas de archivos e IoC conocidos de Black Basta.
- Instalar y configurar productos avanzados de seguridad de puntos finales que supervisen los puntos finales en busca de actividad sospechosa.
- Implemente herramientas modernas de gestión de identidades y accesos
- Implemente una estrategia de copia de seguridad fiable con copias de seguridad offline bien protegidas y practique procedimientos de recuperación ante desastres para garantizar el cumplimiento de los objetivos de tiempo medio de recuperación (MTTR).
Anuncio CSIRT: https://www.csirt.gob.cl/noticias/10cnd23-00112-01/
Alerta Aduanas en X: https://twitter.com/AduanaCL/status/1714297646226018414