“La persona de soporte ya está lista para resolver tu problema, solo dale el acceso necesario”.
Un grupo de ciberdelincuentes vinculado a Black Basta ha cambiado su táctica, comenzando a distribuir los programas maliciosos Zbot y DarkGate desde octubre de 2024. Según los datos de los investigadores de Rapid7, los atacantes utilizan activamente métodos de ingeniería social, incluida la "bombardeo" de correos electrónicos a las víctimas para establecer contacto posterior.
La etapa clave del ataque comienza con la saturación del buzón de correo de la víctima, lograda mediante el registro de su correo electrónico en numerosos servicios de suscripción. Posteriormente, los atacantes se dirigen a las víctimas, a menudo haciéndose pasar por empleados del soporte técnico.
Desde agosto de 2024, Black Basta utiliza Microsoft Teams para contactar a posibles víctimas. Los delincuentes se presentan como especialistas en TI de la empresa, lo que les ayuda a ganar confianza. A las víctimas se les solicita instalar software legítimo de acceso remoto, como AnyDesk, TeamViewer o Microsoft Quick Assist, para que los atacantes puedan tomar el control de los dispositivos.
Microsoft monitorea las actividades de este grupo bajo el nombre Storm-1811. Uno de los métodos de ataque es el envío de un código QR malicioso, a través del cual los delincuentes intentan robar las credenciales de los usuarios. También se ha detectado el uso de OpenSSH para crear una shell inversa y ejecutar ataques adicionales.
Después de instalar el software de acceso remoto, los atacantes introducen programas para robar credenciales y lanzar cargas maliciosas, incluidos Zbot o DarkGate. El objetivo es obtener acceso a los componentes VPN de la organización y eludir la autenticación multifactor para penetrar directamente en la red de la empresa.
Black Basta surgió en 2022 tras la disolución del grupo Conti, comenzando con el uso de QakBot y luego evolucionando hacia métodos híbridos de ataque, combinando programas maliciosos e ingeniería social. Durante este tiempo, se han desarrollado herramientas únicas como KNOTWRAP y DAWNCRY para realizar ataques sin archivos.
Además, los analistas de ReliaQuest señalaron que los códigos QR posiblemente dirigen a las víctimas a recursos para realizar ataques adicionales. En general, la evolución de Black Basta refleja una transición de los botnets a esquemas híbridos más complejos, lo que hace que esta amenaza sea especialmente relevante.