Una reciente filtración de registros internos de chat entre miembros de la operación de ransomware Black Basta ha revelado posibles vínculos entre esta banda de ciberdelincuentes y las autoridades rusas.

La filtración, que contiene más de 200,000 mensajes intercambiados entre septiembre de 2023 y septiembre de 2024, fue publicada el mes pasado por un usuario de Telegram llamado @ExploitWhispers.

Según un análisis realizado por la empresa de ciberseguridad Trellix, el presunto líder de Black Basta, Oleg Nefedov (alias GG o AA), habría recibido ayuda de funcionarios rusos tras su arresto en Ereván, Armenia, en junio de 2024, lo que le permitió escapar solo tres días después.

En los mensajes, GG afirmó haber contactado a altos funcionarios para atravesar un “corredor verde” que facilitó su extracción.

“Esta información proveniente de las filtraciones dificulta que la banda Black Basta pueda abandonar completamente su método de operación y comenzar un nuevo modelo RaaS desde cero sin dejar rastro de sus actividades previas”, explicaron los investigadores de Trellix, Jambul Tologonov y John Fokker.

Otros hallazgos importantes:

🔹 El grupo aparentemente cuenta con dos oficinas en Moscú.
🔹 Utiliza OpenAI ChatGPT para redactar cartas fraudulentas en inglés, parafrasear textos, reescribir malware basado en C# en Python, depurar código y recopilar datos de sus víctimas.
🔹 Algunos miembros de Black Basta han estado involucrados en otras operaciones de ransomware como Rhysida y CACTUS.
🔹 El desarrollador de PikaBot es un ciudadano ucraniano con el alias en línea “mecor” (también conocido como “n3auxaxl”), y Black Basta tardó un año en desarrollar este cargador de malware tras la interrupción de QakBot.
🔹 El grupo alquiló DarkGate de Rastafareye y utilizó Lumma Stealer para robar credenciales, además de otros tipos de malware.
🔹 Desarrollaron un framework de comando y control (C2) llamado Breaker, diseñado para establecer persistencia, evadir detección y mantener acceso en los sistemas de red comprometidos.
🔹 GG colaboró con “mecor” en el desarrollo de un nuevo ransomware basado en el código fuente de Conti, lo que llevó al lanzamiento de un prototipo escrito en C, lo que podría indicar un intento de rebranding.

Este desarrollo ocurre en paralelo a la investigación de EclecticIQ, que reveló que Black Basta ha trabajado en un framework de ataque de fuerza bruta llamado BRUTED, diseñado para realizar escaneos automatizados de internet y ataques de credential stuffing contra dispositivos de red perimetrales, como firewalls y soluciones VPN utilizadas en entornos corporativos.

Existe evidencia que sugiere que esta banda de ciberdelincuentes ha estado utilizando esta plataforma basada en PHP desde 2023 para realizar ataques masivos de fuerza bruta y credential stuffing, lo que les ha permitido obtener acceso a redes de sus víctimas.

“El framework BRUTED permite a los afiliados de Black Basta automatizar y escalar estos ataques, ampliando su lista de víctimas y acelerando la monetización para impulsar sus operaciones de ransomware”, explicó el investigador de seguridad Arda Büyükkaya.

“Las comunicaciones internas revelan que Black Basta ha invertido fuertemente en BRUTED, lo que les ha permitido realizar escaneos rápidos de internet en busca de dispositivos de red perimetrales y ejecutar ataques masivos de credential stuffing dirigidos a contraseñas débiles.”

Fuente: thehackernews.com