{"id":457580,"date":"2022-11-03T19:12:26","date_gmt":"2022-11-03T19:12:26","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-investigadores-encuentran-enlaces-entre-black-basta-ransomware-y-fin7-hackers\/"},"modified":"2022-11-03T19:12:27","modified_gmt":"2022-11-03T19:12:27","slug":"los-investigadores-encuentran-enlaces-entre-black-basta-ransomware-y-fin7-hackers","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-investigadores-encuentran-enlaces-entre-black-basta-ransomware-y-fin7-hackers\/","title":{"rendered":"Los investigadores encuentran enlaces entre Black Basta Ransomware y FIN7 Hackers"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Un nuevo an\u00e1lisis de las herramientas utilizadas por la operaci\u00f3n de ransomware Black Basta ha identificado v\u00ednculos entre el actor de amenazas y el grupo FIN7 (tambi\u00e9n conocido como Carbanak).<\/p>\n<p>Este enlace &#8220;podr\u00eda sugerir que Black Basta y FIN7 mantienen una relaci\u00f3n especial o que uno o m\u00e1s individuos pertenecen a ambos grupos&#8221;, la firma de ciberseguridad SentinelOne. <a rel=\"nofollow noopener\" href=\"https:\/\/www.sentinelone.com\/labs\/black-basta-ransomware-attacks-deploy-custom-edr-evasion-tools-tied-to-fin7-threat-actor\/\" target=\"_blank\">dijo<\/a> en un art\u00edculo t\u00e9cnico compartido con The Hacker News.<\/p>\n<p>Black Basta, que surgi\u00f3 a principios de este a\u00f1o, se ha atribuido a una ola de ransomware que se ha cobrado m\u00e1s de 90 organizaciones hasta septiembre de 2022, lo que sugiere que el adversario est\u00e1 bien organizado y tiene buenos recursos.<\/p>\n<p>Un aspecto notable que hace que el grupo se destaque, seg\u00fan SentinelOne, es el hecho de que no ha habido se\u00f1ales de que sus operadores intenten reclutar afiliados o anunciar el malware como RaaS en foros de darknet o mercados de crimeware.<\/p>\n<p>Esto ha planteado la posibilidad de que los desarrolladores de Black Basta eliminen a los afiliados de la cadena e implementen el ransomware a trav\u00e9s de su propio conjunto de herramientas personalizado o, alternativamente, trabajen con un conjunto cercano de afiliados sin la necesidad de comercializar su warez.<\/p>\n<p>Se sabe que las cadenas de ataque que involucran a Black Basta aprovechan QBot (tambi\u00e9n conocido como Qakbot), que, a su vez, se entrega por medio de correos electr\u00f3nicos de phishing que contienen documentos de Microsoft Office basados \u200b\u200ben macros, y las infecciones m\u00e1s nuevas aprovechan las im\u00e1genes ISO y los cuentagotas LNK para eludir los correos electr\u00f3nicos de Microsoft. decisi\u00f3n de bloquear macros en archivos descargados de la web por defecto.<\/p>\n<p>Una vez que Qakbot obtiene un punto de apoyo persistente en el entorno de destino, el operador de Black Basta entra en escena para realizar un reconocimiento conect\u00e1ndose con la v\u00edctima a trav\u00e9s de la puerta trasera, y luego explota vulnerabilidades conocidas (por ejemplo, ZeroLogon, PrintNightmare y NoPac) para aumentar los privilegios.<\/p>\n<p>Tambi\u00e9n se utilizan en esta etapa puertas traseras como SystemBC (tambi\u00e9n conocido como Coroxy) para la filtraci\u00f3n de datos y la descarga de m\u00f3dulos maliciosos adicionales, antes de realizar un movimiento lateral y tomar medidas para perjudicar las defensas al deshabilitar las soluciones de seguridad instaladas.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"526\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/11\/1667502746_249_Los-investigadores-encuentran-enlaces-entre-Black-Basta-Ransomware-y-FIN7.jpg\" \/><\/div>\n<p>Esto tambi\u00e9n incluye una herramienta de evasi\u00f3n EDR personalizada que se ha utilizado exclusivamente en incidentes de Black Basta y viene integrada con una puerta trasera denominada BIRDDOG, tambi\u00e9n llamada como <a rel=\"nofollow noopener\" href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.socksbot\" target=\"_blank\">calcetinesbot<\/a> y que ha sido utilizado en varios ataques previamente atribuidos al grupo FIN7.<\/p>\n<p>El sindicato de delitos cibern\u00e9ticos FIN7, activo desde 2012, tiene un historial de montaje de campa\u00f1as de malware a gran escala dirigidas a los sistemas de punto de venta (PoS) destinados a las industrias de restaurantes, juegos de azar y hoteler\u00eda para el fraude financiero.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La seguridad cibern\u00e9tica\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/11\/Piratas-informaticos-que-utilizan-versiones-no-autorizadas-del-software-KeePass.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Sin embargo, en los \u00faltimos dos a\u00f1os, el grupo se pas\u00f3 al ransomware para generar ingresos de forma il\u00edcita, primero como Darkside y luego como BlackMatter y BlackCat, sin mencionar el establecimiento de empresas fachada falsas para reclutar probadores de penetraci\u00f3n involuntarios para realizar ataques de ransomware.<\/p>\n<p>&#8220;En este punto, es probable que FIN7 o una afiliada comenzaran a crear herramientas desde cero para desvincular sus nuevas operaciones de las antiguas&#8221;, dijeron los investigadores Antonio Cocomazzi y Antonio Pirozzi.  &#8220;Es probable que los desarrolladores detr\u00e1s de sus herramientas para afectar las defensas de las v\u00edctimas sean, o hayan sido, desarrolladores de FIN7&#8221;.<\/p>\n<p>Los hallazgos se producen semanas despu\u00e9s de que se observara al actor de Black Basta usando el troyano Qakbot para implementar los marcos Cobalt Strike y Brute Ratel C4 como una carga \u00fatil de segunda etapa en ataques recientes.<\/p>\n<p>&#8220;El ecosistema del crimeware se expande, cambia y evoluciona constantemente&#8221;, concluyeron los investigadores.  &#8220;A FIN7 (o Carbanak) a menudo se le atribuye la innovaci\u00f3n en el espacio criminal, llevando los ataques contra bancos y sistemas PoS a nuevas alturas m\u00e1s all\u00e1 de los esquemas de sus pares&#8221;.<\/p>\n<p>La divulgaci\u00f3n tambi\u00e9n llega como la Red de Ejecuci\u00f3n de Delitos Financieros de EE. UU. (FinCEN) <a rel=\"nofollow noopener\" href=\"https:\/\/www.fincen.gov\/news\/news-releases\/fincen-analysis-reveals-ransomware-reporting-bsa-filings-increased-significantly\" target=\"_blank\">reportado<\/a> un aumento en los ataques de ransomware dirigidos a entidades nacionales de 487 en 2020 a 1489 en 2021, con un costo total de 1200 millones de d\u00f3lares, un aumento del 188 % con respecto a los 416 millones de d\u00f3lares del a\u00f1o anterior.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/11\/researchers-find-links-bw-black-basta.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un nuevo an\u00e1lisis de las herramientas utilizadas por la operaci\u00f3n de ransomware Black Basta ha identificado v\u00ednculos entre<\/p>\n","protected":false},"author":1,"featured_media":457581,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,32542,4705,4664,5252,29632,372,4662,43251,6369,12583,4668,4667,36,4654,4658,4659,4653,4655,4663,4883,4666,4665,4660],"class_list":["post-457580","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-basta","tag-black","tag-como-hackear","tag-encuentran","tag-enlaces","tag-entre","tag-filtracion-de-datos","tag-fin7","tag-hackers","tag-investigadores","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-los","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-programa-malicioso-ransomware","tag-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/457580","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=457580"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/457580\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/457581"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=457580"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=457580"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=457580"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}