Durante el último año y medio, la campaña de ransomware Black Basta, que los expertos atribuyen a personas que pueden estar vinculadas a la infame pandilla Conti, ha recaudado más de 100 millones de dólares e infectó a 329 víctimas conocidas. Según un informe publicado por Elliptic, especializada en el análisis de criptomonedas, la estrategia de Black Basta presenta similitudes con la de Conti, especialmente en términos de los objetivos a los que se dirige. Dos tercios de ellos se referían a empresas estadounidenses de los sectores de fabricación, ingeniería, construcción y comercio minorista.

Índice
  1. Un mínimo de 107 millones de dólares en extorsión
  2. Un vector de Qakbot

Un mínimo de 107 millones de dólares en extorsión

También se han atacado otros sectores, incluidos bufetes de abogados, agencias inmobiliarias, etc. Al estudiar las conexiones blockchain entre las criptomonedas utilizadas para los pagos de rescate en bitcoins, Elliptic, junto con Corvus Insurance, descubrieron acuerdos típicos. Los investigadores han identificado más de 90 rescates pagados a Black Basta, con un valor promedio de 1,2 millones de dólares cada uno. En total, el grupo recibió 107 millones de dólares en pagos de rescate. El informe afirma que esta cifra probablemente esté "subestimada", porque los investigadores creen que no han identificado todos los pagos. Las dos víctimas más conocidas son Capita, una empresa de subcontratación de tecnología con importantes contratos con el gobierno británico, y ABB, una empresa de automatización industrial.

El informe señala que ninguna de las empresas reveló ningún pago de rescate. Capita no respondió de inmediato a solicitudes de comentarios; ABB reconoció en un comunicado que había sufrido un “incidente de seguridad”, pero no precisó si se trataba de ransomware. “En mayo de 2023, ABB tuvo conocimiento de un incidente de seguridad informática que afectaba a determinados sistemas informáticos de la empresa. Tras este incidente, ABB abrió una investigación, notificó a determinadas autoridades policiales y de protección de datos y trabajó con destacados expertos para determinar la naturaleza y el alcance del incidente”, según un comunicado del grupo enviado por su responsable de relaciones con los medios. “ABB también ha tomado medidas para contener el incidente y reforzar la seguridad de sus sistemas. Basándose en su investigación, ABB ha determinado que un tercero no autorizado accedió a determinados sistemas de ABB y extrajo determinados datos. La empresa está trabajando para identificar y analizar la naturaleza y el alcance de los datos afectados y continúa evaluando sus obligaciones de presentación de informes”.

Un vector de Qakbot

Black Basta se distribuye principalmente mediante el malware Qakbot, que funciona mediante campañas de phishing. Los investigadores dijeron que porcentajes del dinero recaudado aparentemente se pagaron a los "operadores" de Black Basta, lo que sugiere que se trataba de ransomware como servicio, y que se hicieron pagos similares a Qakbot por la participación de este grupo en los ataques. Según el informe, la interrupción de la red Qakbot en agosto, podría explicar en parte la “clara disminución” de los ataques de Black Basta en los últimos meses.

Los investigadores también encontraron evidencia de vínculos entre las criptomonedas utilizadas para los pagos de Black Basta y las de la pandilla Conti, un grupo cibercriminal con sede en Rusia que se cree que está vinculado al gobierno de ese país. Los investigadores también creen que los pagos de rescate se blanquean a través del intercambio de criptomonedas ruso conocido como Garantex. Señalan que este último fue sancionado en abril de 2022 por el gobierno estadounidense por sus vínculos comerciales con mercados que utilizan la red oscura.