{"id":1607276,"date":"2025-03-04T18:21:14","date_gmt":"2025-03-04T18:21:14","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-investigadores-vinculan-las-tacticas-de-ransomware-de-cactus-a-las-ex-afiliadas-de-black-basta\/"},"modified":"2025-03-04T18:21:20","modified_gmt":"2025-03-04T18:21:20","slug":"los-investigadores-vinculan-las-tacticas-de-ransomware-de-cactus-a-las-ex-afiliadas-de-black-basta","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-investigadores-vinculan-las-tacticas-de-ransomware-de-cactus-a-las-ex-afiliadas-de-black-basta\/","title":{"rendered":"Los investigadores vinculan las t\u00e1cticas de ransomware de cactus a las ex afiliadas de Black Basta"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>04 de marzo de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Cibercrimen \/ inteligencia de amenazas<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Se ha encontrado que los actores de amenazas que desplegan las familias de ransomware de Basta Black Basta y Cactus conf\u00edan en el mismo m\u00f3dulo de Contracci\u00f3n (BC) para mantener un control persistente sobre los hosts infectados, un signo que los afiliados previamente asociados con Black Basta pueden haber transicionado a Cactus.<\/p>\n

“Una vez infiltrado, otorga a los atacantes una amplia gama de capacidades de control remoto, lo que les permite ejecutar comandos en la m\u00e1quina infectada”, Trend Micro dicho<\/a> En un an\u00e1lisis del lunes. “Esto les permite robar datos confidenciales, como credenciales de inicio de sesi\u00f3n, informaci\u00f3n financiera y archivos personales”.<\/p>\n

Vale la pena se\u00f1alar que los detalles del m\u00f3dulo BC, que la compa\u00f1\u00eda de seguridad cibern\u00e9tica est\u00e1 rastreando como QbackConnect debido a las superposiciones con el cargador Qakbot, fueron documentados por primera vez a fines de enero de 2025 por el equipo de inteligencia cibern\u00e9tica de Walmart y Sophos, el \u00faltimo de los cuales ha designado el cl\u00faster el nombre STAC5777. <\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Durante el a\u00f1o pasado, las cadenas de ataque de Black Basta han aprovechado cada vez m\u00e1s t\u00e1cticas de bombardeo por correo electr\u00f3nico para enga\u00f1ar a los posibles objetivos para instalar asistencia r\u00e1pida despu\u00e9s de ser contactado por el actor de amenazas bajo el pretexto de soporte de TI o personal de asistencia.<\/p>\n

Luego, el acceso sirve como un conducto para unir un cargador DLL malicioso (“winhttp.dll”) llamado Reedbed usando OneDrivestandaloneUpdater.exe, un ejecutable leg\u00edtimo responsable de actualizar Microsoft OneDrive. El cargador finalmente descifra y ejecuta el m\u00f3dulo BC.<\/p>\n

\"Ransomware<\/a><\/div>\n

Trend Micro dijo que observ\u00f3 un ataque de ransomware de cactus que emple\u00f3 el mismo modus operandi para implementar la conexi\u00f3n de retroceso, pero tambi\u00e9n fue m\u00e1s all\u00e1 para llevar a cabo varias acciones posteriores a la explotaci\u00f3n como el movimiento lateral y la exfiltraci\u00f3n de datos. Sin embargo, los esfuerzos para cifrar la red de la v\u00edctima terminaron en el fracaso.<\/p>\n

La convergencia de las t\u00e1cticas asume un significado especial a la luz de las recientes filtraciones de registro de chat de Black Basta que dej\u00f3 al descubierto las pandillas de delitos electr\u00f3nicos Trabajo interno y estructura organizacional<\/a>.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Espec\u00edficamente, tiene surgido<\/a> Que los miembros de la tripulaci\u00f3n motivada financieramente compartieron credenciales v\u00e1lidas, algunas de las cuales se han obtenido de registros de robadores de informaci\u00f3n. Algunos de los otros puntos de acceso iniciales prominentes son los portales de protocolo de escritorio remoto (RDP) y puntos finales VPN.<\/p>\n

“Los actores de amenazas est\u00e1n utilizando estas t\u00e1cticas, t\u00e9cnicas y procedimientos (TTP): asistencia r\u00e1pida, asistencia r\u00e1pida como herramienta remota y retroceso, para implementar el ransomware negro Basta”, dijo Trend Micro.<\/p>\n

“Espec\u00edficamente, hay evidencia que sugiere que los miembros han hecho la transici\u00f3n del grupo de ransomware negro Basta al grupo de ransomware Cactus. Esta conclusi\u00f3n se extrae del an\u00e1lisis de t\u00e1cticas, t\u00e9cnicas y procedimientos (TTP) similares que se utiliza”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n