AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**El grupo de ransomware Black Basta amenaza a un gigante de la distribución tecnológica tras exfiltrar 3,5 TB de datos**

admin

### Introducción

En uno de los incidentes de ciberseguridad más significativos del año, un grupo de ransomware ha reivindicado la exfiltración de 3,5 terabytes de datos confidenciales de un importante distribuidor tecnológico internacional. La organización criminal ha lanzado un ultimátum: pagar el rescate exigido o afrontar una filtración masiva de información sensible. El suceso subraya la sofisticación operativa de los grupos de ransomware actuales y la vulnerabilidad crítica de la cadena de suministro tecnológica.

### Contexto del Incidente

El ataque fue atribuido al grupo Black Basta, una de las amenazas de ransomware-as-a-service (RaaS) más activas y agresivas de 2024. Según los comunicados publicados en la dark web, la banda asegura haber comprometido la infraestructura de un distribuidor tecnológico de primer nivel, con operaciones globales y una cartera de clientes que abarca desde pymes hasta grandes corporaciones.

La presión ejercida por Black Basta se centra en el volumen de datos exfiltrados: 3,5 TB que incluyen información financiera, acuerdos confidenciales, datos de clientes, credenciales de acceso, registros internos y documentos relacionados con la cadena de suministro. El grupo ha dado un plazo limitado para el pago –cuya cuantía no ha sido detallada públicamente–, bajo la amenaza de publicar progresivamente los datos en foros clandestinos y sitios de filtración.

### Detalles Técnicos

El modus operandi de Black Basta es consistente con la táctica de doble extorsión, ampliamente documentada en los informes de tendencias de ciberamenazas de este año. El ataque habría comenzado con la explotación de credenciales comprometidas, posiblemente obtenidas mediante campañas de phishing dirigidas o a través de brokers de acceso inicial (IABs). Una vez dentro, los atacantes habrían empleado herramientas de movimiento lateral como Cobalt Strike y Living-off-the-Land Binaries (LOLBins), siguiendo técnicas mapeadas en MITRE ATT&CK como T1071 (Application Layer Protocol), T1021 (Remote Services) y T1059 (Command and Scripting Interpreter).

La carga útil del ransomware Black Basta, identificada en variantes recientes, utiliza cifrado híbrido (AES-RSA) para bloquear el acceso a los archivos y añade extensiones personalizadas a los ficheros afectados. Además, se ha observado la utilización de mecanismos para deshabilitar soluciones EDR, así como la eliminación de copias de seguridad mediante scripts automatizados. El vector de ataque inicial se mantiene bajo investigación, aunque fuentes cercanas a la investigación mencionan la posible explotación de vulnerabilidades conocidas (como CVE-2023-34362 en MOVEit Transfer) o fallos en la configuración de servicios RDP expuestos.

Los Indicadores de Compromiso (IoC) asociados incluyen direcciones IP vinculadas a infraestructura de comando y control (C2), hashes de las muestras de malware (SHA256), y patrones de tráfico anómalos en los logs de red. Hasta la fecha, no se ha publicado un exploit específico para esta intrusión, pero los frameworks Metasploit y Cobalt Strike continúan siendo utilizados para la explotación y post-explotación en campañas similares.

### Impacto y Riesgos

El impacto potencial de la filtración es significativo. Con 3,5 TB de información comprometida, la exposición de datos afecta no solo al distribuidor atacado, sino también a su ecosistema de socios y clientes. La publicación de acuerdos comerciales, credenciales y detalles operativos puede facilitar ataques dirigidos posteriores (spear phishing, BEC), fraudes financieros y la explotación de vulnerabilidades en la cadena de suministro.

El riesgo para la continuidad de negocio es elevado, especialmente considerando la posible interrupción de operaciones logísticas y la pérdida de confianza por parte de clientes y proveedores. A nivel regulatorio, la exposición de datos personales podría activar obligaciones de notificación bajo el RGPD y, en el caso de servicios esenciales, la nueva directiva NIS2.

### Medidas de Mitigación y Recomendaciones

Las recomendaciones para organizaciones del sector pasan por:

– Revisión inmediata de accesos remotos (RDP, VPN) y aplicación de doble factor de autenticación (MFA).
– Actualización urgente de todos los sistemas afectados por vulnerabilidades conocidas (MOVEit, Citrix, Fortinet, etc.).
– Monitorización proactiva de logs en búsqueda de IoCs publicados.
– Segmentación de redes críticas y limitación de privilegios de cuentas administrativas.
– Pruebas de restauración de backups offline y planes de respuesta ante incidentes.
– Comunicación transparente y coordinada con clientes y partners sobre el potencial compromiso.

Las empresas deben también revisar sus pólizas de ciberseguro y sus obligaciones legales de notificación, adaptando sus procedimientos internos a los requisitos de la NIS2 y el RGPD.

### Opinión de Expertos

Expertos consultados destacan la sofisticación de Black Basta y su capacidad para eludir controles tradicionales. “Se observa una profesionalización del ransomware, con operaciones casi empresariales y una cadena de suministro criminal bien estructurada”, afirma un analista de amenazas de un reconocido CERT europeo. Otros subrayan la importancia de la inteligencia de amenazas y la compartición de información, así como la preparación para escenarios de doble extorsión.

### Implicaciones para Empresas y Usuarios

Este incidente refuerza la idea de que los eslabones más críticos de la cadena de suministro tecnológica son objetivos prioritarios para los grupos de ransomware. Las empresas deben revisar sus dependencias, fortalecer controles de terceros y exigir transparencia sobre las medidas de seguridad implementadas por sus proveedores. Para los usuarios, la vigilancia ante intentos de phishing y la protección de credenciales siguen siendo elementos esenciales.

### Conclusiones

El ataque de Black Basta marca un nuevo hito en la evolución del ransomware, tanto por el volumen de datos exfiltrados como por el perfil de la víctima. La sofisticación técnica y la presión ejercida mediante doble extorsión obligan a las organizaciones a revisar de inmediato sus estrategias de protección, detección y respuesta. La colaboración sectorial y la adaptación a los nuevos marcos regulatorios serán claves para mitigar el impacto y evitar futuros incidentes de esta magnitud.

(Fuente: www.darkreading.com)