Se han observado que los ex miembros vinculados a la operación de ransomware Black Basta se apegan a su enfoque probado de bombardeo por correo electrónico y los equipos de Microsoft Phishing para establecer un acceso persistente a las redes de destino.
«Recientemente, los atacantes han introducido la ejecución de script de Python junto con estas técnicas, utilizando solicitudes de curl para obtener e implementar cargas útiles maliciosas», dijo Reliaquest en un informe compartido con Hacker News.
El desarrollo es una señal de que los actores de amenaza continúan pivotando y reagrupados, a pesar de que la marca Black Basta sufre un gran golpe y una disminución después de la fuga pública de sus registros de chat internos a principios de febrero.
La compañía de ciberseguridad dijo que la mitad de los ataques de phishing de los equipos que se observaron entre febrero y mayo de 2025 se originaron en los dominios Onmicrosoft (.) Com, y que violaron los dominios representaron el 42% de los ataques durante el mismo período. Este último es mucho más sigiloso y permite a los actores de amenazas hacerse pasar por el tráfico legítimo en sus ataques.
Tan recientemente como el mes pasado, los clientes de Reliaquest en el sector de finanzas y seguros y el sector de la construcción han sido atacados utilizando equipos phishing al disfrazarse como personal de la mesa de ayuda para engañar a los usuarios desprevenidos.
«El cierre del sitio de lisa de datos de Black Basta, a pesar del uso continuo de sus tácticas, indica que los antiguos afiliados probablemente hayan migrado a otro grupo RAAS o formado uno nuevo», agregó la compañía. «El escenario más probable es que los ex miembros se han unido al Grupo Cactus Raas, que se evidencia por el líder de Black Basta, Trump, hace referencia a un pago de $ 500-600K a Cactus en los chats filtrados».
Dicho esto, vale la pena señalar que Cactus no ha nombrado ninguna organización en su sitio de fuga de datos desde marzo de 2025, lo que indica que el grupo se ha disuelto o está tratando deliberadamente de evitar llamar la atención sobre sí mismo. Otra posibilidad es que los afiliados se hayan movido a Blacklock, que, a su vez, se cree que comenzó a colaborar con un cartel de ransomware llamado Dragonforce.
Los actores de amenaza también se han visto aprovechando el acceso obtenido a través de la técnica de phishing de los equipos a sesiones de escritorio remotas iniciales a través de asistencia rápida y cualquierdesk, y luego descargar un script de Python malicioso de una dirección remota y ejecutarlo para establecer comunicaciones de comando y control (C2).
«El uso de los guiones de Python en este ataque destaca una táctica en evolución que probablemente se vuelva más frecuente en las campañas de phishing de futuros equipos en el futuro inmediato», dijo Reliaquest.
La estrategia de ingeniería social al estilo negro de Basta del uso de una combinación de spam de correo electrónico, phishing de equipos y asistencia rápida también ha encontrado que los tomadores entre el Grupo de Ransomware BlackSuit, lo que aumenta la posibilidad de que los afiliados de los trajes negros hayan adoptado el enfoque o absorbieran a los miembros del grupo.
Según Rapid7, el acceso inicial sirve como una vía para descargar y ejecutar variantes actualizadas de una rata basada en Java que previamente se implementó para actuar como una credencial Harvester en los ataques Black Basta.
«El malware Java ahora abusa de los servicios de alojamiento de archivos basados en la nube proporcionados por Google y Microsoft a los comandos proxy a través de los servidores del proveedor de servicios en la nube respectivos (CSP)», dijo la compañía. «Con el tiempo, el desarrollador de malware se ha alejado de las conexiones directas de proxy (es decir, la opción de configuración se deja en blanco o no presente), hacia las hojas OneDrive y Google, y más recientemente, para simplemente usar Google Drive».
La nueva iteración del malware se realiza en más funciones para transferir archivos entre el host infectado y un servidor remoto, iniciar un túnel proxy Socks5, robar credenciales almacenadas en navegadores web, presentar una ventana de inicio de sesión de Windows falso y descargar una clase Java desde una URL suministrada y ejecutarla en la memoria.
Al igual que los ataques de ransomware 3am detallados por Sophos hace un par de semanas, las intrusiones también se caracterizan por el uso de una puerta trasera de túnel llamada Qdoor, un malware previamente atribuido a BlackSuit y una carga útil de óxido que probablemente sea un cargador personalizado para la utilidad SSH, y una rata de Python se refería a Anube.
Los hallazgos vienen en medio de una serie de desarrollos en el panorama de ransomware –
- El grupo motivado financieramente conocido como Sptered Spider ha dirigido a proveedores de servicios administrados (MSP) y a los proveedores de TI como parte de un enfoque de «uno a muchos» para infiltrarse en múltiples organizaciones a través de un solo compromiso, en algunos casos que explotan cuentas comprometidas del contratista global de TA Tata Consultancy Services (TCS) para obtener el acceso inicial.
- Sptered Spider ha creado páginas de inicio de sesión falsas utilizando el kit de phishing EvilGinX para evitar la autenticación de múltiples factores (MFA) y las alianzas estratégicas forjadas con operadores de ransomware importantes como AlphV (también conocido como BlackCat), Ransomhub y, más recientemente, DragonforCe, realizar ataques sofisticados de MSP a la vista de SimpleTopsp.
- Los operadores de ransomware de Qilin (también conocido como Agenda y Phantom Mantis) han lanzado una campaña de intrusos coordinada dirigida a varias organizaciones entre mayo y junio de 2025 mediante el armamento de las vulnerabilidades de Fortinet FortiGate (por ejemplo, CVE-2024-21762 y CVE-2024-55591) para el acceso inicial.
- Se estima que el grupo de ransomware (también conocido como Balloonfly y PlayCrypt) ha comprometido 900 entidades a partir de mayo de 2025 desde su aparición a mediados de 2012. Algunos de los ataques han aprovechado las fallas de SimpleHelp (CVE-2024-57727) para dirigirse a muchas entidades basadas en los Estados Unidos después de la divulgación pública de la vulnerabilidad.
- El administrador del grupo de ransomware Vanhelsing ha filtrado todo el código fuente en el foro de rampas, citando conflictos internos entre desarrolladores y liderazgo. Los detalles filtrados incluyen las teclas TOR, el código fuente de ransomware, el panel web de administración, el sistema de chat, el servidor de archivos y el blog con su base de datos completa, según PRODAFT.
- El grupo de ransomware de enclavamiento ha desplegado un troyano de acceso remoto de JavaScript previamente indocumentado llamado Nodesnake como parte de los ataques dirigidos al gobierno local y las organizaciones de educación superior en el Reino Unido en enero y marzo de 2025. El malware, distribuido a través de correos electrónicos de phishing, ofrece acceso persistente, reconocimiento del sistema y capacidades de ejecución de comandos remotos.
«Las ratas permiten a los atacantes obtener control remoto sobre sistemas infectados, lo que les permite acceder a archivos, monitorear actividades y manipular la configuración del sistema», dijo Quorum Cyber. «Los actores de amenaza pueden usar una rata para mantener la persistencia dentro de una organización, así como para introducir herramientas o malware adicionales al entorno. También pueden acceder, manipular, destruir o exfiltrar datos».
