Las empresas con sede en los EE. UU. han estado en el extremo receptor de una campa\u00f1a de malware Qakbot “agresiva” que conduce a infecciones de ransomware Black Basta en redes comprometidas.<\/p>\n
“En esta \u00faltima campa\u00f1a, la pandilla de ransomware Black Basta est\u00e1 utilizando el malware QakBot para crear un punto de entrada inicial y moverse lateralmente dentro de la red de una organizaci\u00f3n”, dijeron los investigadores de Cybereason Joakim Kandefelt y Danielle Frankel. dijo<\/a> en un informe compartido con The Hacker News.<\/p>\n Black Basta, que surgi\u00f3 en abril de 2022, sigue el enfoque probado de doble extorsi\u00f3n para robar datos confidenciales de empresas objetivo y utilizarlos como palanca para extorsionar pagos en criptomonedas amenazando con divulgar la informaci\u00f3n robada.<\/p>\n Esta no es la primera vez que se observa a la tripulaci\u00f3n del ransomware usando Qakbot (tambi\u00e9n conocido como QBot, QuackBot o Pinkslipbot). El mes pasado, Trend Micro revel\u00f3 ataques similares que implicaron el uso de Qakbot para entregar el marco Brute Ratel C4, que, a su vez, se aprovech\u00f3 para eliminar Cobalt Strike.<\/p>\n La actividad de intrusi\u00f3n observada por Cybereason elimina a Brute Ratel C4 de la ecuaci\u00f3n y, en su lugar, usa Qakbot para distribuir directamente Cobalt Strike en varias m\u00e1quinas en el entorno infectado.<\/p>\n La cadena de ataque comienza con un correo electr\u00f3nico de phishing con un archivo de imagen de disco malicioso que, cuando se abre, inicia la ejecuci\u00f3n de Qbot, que, por su parte, se conecta a un servidor remoto para recuperar la carga \u00fatil de Cobalt Strike.<\/p>\n En esta etapa, se llevan a cabo actividades de recolecci\u00f3n de credenciales y movimiento lateral para colocar el marco del equipo rojo en varios servidores, antes de violar tantos puntos finales como sea posible utilizando las contrase\u00f1as recopiladas y lanzar el ransomware Black Basta.<\/p>\n “El actor de amenazas obtuvo privilegios de administrador de dominio en menos de dos horas y pas\u00f3 a la implementaci\u00f3n de ransomware en menos de 12 horas”, se\u00f1alaron los investigadores, y agregaron que m\u00e1s de 10 clientes diferentes se vieron afectados por el nuevo conjunto de ataques en las \u00faltimas dos semanas.<\/p>\n En dos casos detectados por la compa\u00f1\u00eda de ciberseguridad israel\u00ed, las intrusiones no solo desplegaron el ransomware sino que tambi\u00e9n bloquearon a las v\u00edctimas fuera de sus redes al deshabilitar el servicio DNS en un intento por hacer que la recuperaci\u00f3n fuera m\u00e1s desafiante.<\/p>\n Black Basta sigue siendo un actor de ransomware muy activo. Seg\u00fan datos recopilados por Malwarebytes<\/a>Black Basta apunt\u00f3 con \u00e9xito a 25 empresas solo en octubre de 2022, coloc\u00e1ndose detr\u00e1s de LockBit, Karakurt y BlackCat.<\/p>\n <\/p>\n<\/div>\n![\"Ransomware](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/11\/1669286324_112_Black-Basta-Ransomware-Gang-se-infiltra-activamente-en-empresas-estadounidenses.png\" "\\"Ransomware")
<\/div>\n![\"Ransomware](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/11\/1669286325_955_Black-Basta-Ransomware-Gang-se-infiltra-activamente-en-empresas-estadounidenses.png\" "\\"Ransomware")
<\/div>\n