Blog

jordiserrano.me|ClickFix|Kairos|IntelTracker
Blog » BlackBasta

BlackBasta

threat-actor ciberseguridad

BlackBasta

BlackBasta: Perfil y Análisis de Amenaza

Perfil del Actor

Nombre: BlackBasta (también conocido como BlackBasta-Ransom)

Categoría: Ransomware / Malware / Espionaje Tecnológico

Incidencia: 2024-2026

Origen y Motivación

El actor BlackBasta es un grupo de ransomware que se ha destacado por su capacidad para operar en entornos corporativos, especialmente en organizaciones con infraestructura crítica. Se han identificado señales de actividad relacionada con la recuperación de datos y el control administrativo durante los últimos años.

Tecnicas y Tacticas (TTPs)

  • Dominio Social: Utilizan mensajes que simulan a empresas reales, ofreciendo soluciones encriptadas por un "equipo de expertos" especializado.
  • Ransomware Inyección: Se han detectado variantes que integran scripts de ataque dentro del propio ransomware para facilitar el acceso al sistema.
  • Auditoría Remota: Utilizan herramientas de diagnóstico y reporte de vulnerabilidades en sistemas críticos como servidores web, bases de datos y sistemas de gestión de activos.
  • Espionaje Tecnológico: Se han identificado scripts que extraen información sensible del entorno de producción mediante técnicas de escaneo automático.

Campanas Conocidas

Las siguientes actividades se han documentado en fuentes públicas relacionadas con el grupo BlackBasta-Ransom:

  • Negociación de Ransomware: Mensajes de conversión donde se solicita pago mediante criptoestadales.
  • Firma de Software y Auditoría: Scripts que integran herramientas de escaneo y reporte de vulnerabilidades en sistemas críticos.

Objetivos y Victimas

Los objetivos principales incluyen:

  • Sistemas web y aplicaciones críticas (ej. CMS, plataformas SaaS).
  • Bases de datos relacionales.
  • Campos de producción en servidores web que contienen información sensible.

Indicadores de Compromiso (IOCs)

No hay indicadores públicos disponibles para esta amenaza. Se recomienda verificar bases de datos internas como OpenCTI o ThreatConnect para rastrear actividad relacionada con BlackBasta-Ransom en entornos similares.

Tipo Valor/Identidad Contexto / Notas
URL de Negociación https://ransomch.at/files/BlackBasta-Ransomware.pdf Firma del ransomware. Documento que describe el proceso de negociación.

Detección y Defensa

Para mitigar la amenaza: implementar filtros de contenido en sistemas de correo, analizar archivos descargados con análisis de malware, monitoreo continuo de amenazas (CAI) y protocolos de respuesta ante incidentes.

← Volver al blog

Jordi Serrano — Senior Cyber Threat Intelligence

LinkedIn Instagram GitHub jordiserrano.me