Se ha encontrado que los actores de amenazas que desplegan las familias de ransomware de Basta Black Basta y Cactus confían en el mismo módulo de Contracción (BC) para mantener un control persistente sobre los hosts infectados, un signo que los afiliados previamente asociados con Black Basta pueden haber transicionado a Cactus.
«Una vez infiltrado, otorga a los atacantes una amplia gama de capacidades de control remoto, lo que les permite ejecutar comandos en la máquina infectada», dijo Trend Micro en un análisis del lunes. «Esto les permite robar datos confidenciales, como credenciales de inicio de sesión, información financiera y archivos personales».
Vale la pena señalar que los detalles del módulo BC, que la compañía de seguridad cibernética está rastreando como QbackConnect debido a las superposiciones con el cargador Qakbot, fueron documentados por primera vez a fines de enero de 2025 por el equipo de inteligencia cibernética de Walmart y Sophos, el último de los cuales ha designado el clúster el nombre STAC5777.
Durante el año pasado, las cadenas de ataque de Black Basta han aprovechado cada vez más tácticas de bombardeo por correo electrónico para engañar a los posibles objetivos para instalar asistencia rápida después de ser contactado por el actor de amenazas bajo el pretexto de soporte de TI o personal de asistencia.
Luego, el acceso sirve como un conducto para unir un cargador DLL malicioso («winhttp.dll») llamado Reedbed usando OneDrivestandaloneUpdater.exe, un ejecutable legítimo responsable de actualizar Microsoft OneDrive. El cargador finalmente descifra y ejecuta el módulo BC.
Trend Micro dijo que observó un ataque de ransomware de cactus que empleó el mismo modus operandi para implementar la conexión de retroceso, pero también fue más allá para llevar a cabo varias acciones posteriores a la explotación como el movimiento lateral y la exfiltración de datos. Sin embargo, los esfuerzos para cifrar la red de la víctima terminaron en el fracaso.
La convergencia de las tácticas asume un significado especial a la luz de las recientes filtraciones de registro de chat de Black Basta que dejó al descubierto el funcionamiento interno y la estructura organizativa de la pandilla del crimen electrónico.
Específicamente, ha surgido que los miembros de la tripulación motivada financieramente compartieron credenciales válidas, algunas de las cuales se han obtenido de registros de robadores de información. Algunos de los otros puntos de acceso iniciales prominentes son los portales de protocolo de escritorio remoto (RDP) y puntos finales VPN.
«Los actores de amenazas están utilizando estas tácticas, técnicas y procedimientos (TTP): asistencia rápida, asistencia rápida como herramienta remota y retroceso, para implementar el ransomware negro Basta», dijo Trend Micro.
«Específicamente, hay evidencia que sugiere que los miembros han hecho la transición del grupo de ransomware negro Basta al grupo de ransomware Cactus. Esta conclusión se extrae del análisis de tácticas, técnicas y procedimientos (TTP) similares que se utiliza».
