GETOVERX FORUM Community Support
Ransomware – Black Basta (2022) - Printable Version

+- GETOVERX FORUM Community Support (https://forum.getoverx.com)
+-- Forum: Malware Docs (https://forum.getoverx.com/forumdisplay.php?fid=12)
+--- Forum: Ransomware (https://forum.getoverx.com/forumdisplay.php?fid=16)
+--- Thread: Ransomware – Black Basta (2022) (/showthread.php?tid=54)

Ransomware – Black Basta (2022) - mrwebfeeder - 11-29-2025

Nombre: Black Basta

Categoría: Ransomware

Fecha de descubrimiento: 2022

Comportamiento (lo que hace y archivos que infecta):
- Fast encryption:
- Está diseñado para cifrar rápidamente grandes volúmenes de archivos en estaciones y servidores.
- Recorre unidades locales y de red, además de unidades mapeadas, priorizando documentos de trabajo y datos de negocio.
- Data exfiltration:
- Antes o durante el cifrado, los operadores extraen (exfiltran) información sensible:
- Documentos internos, bases de datos, proyectos, datos de clientes.
- Información que pueda usarse para presión reputacional o legal.
- Double extortion:
- Combina cifrado de archivos con la amenaza de filtrar la información robada si la víctima no paga.
- La víctima se enfrenta al riesgo de pérdida de datos + exposición pública de la información.
- Archivos afectados:
- Documentos Office, PDF, imágenes, proyectos.
- Bases de datos y ficheros de aplicaciones corporativas.
- Copias de seguridad accesibles, máquinas virtuales y shares de red (SMB/NAS).
- Suele detener servicios y procesos que bloquean archivos (bases de datos, aplicaciones de backup) para maximizar el número de ficheros cifrados.

Persistencia:
- Malicious services:
- Crea servicios maliciosos en el sistema con nombres que imitan servicios legítimos.
- Estos servicios apuntan al ejecutable del ransomware o a un loader intermedio.
- Se configuran como inicio automático para relanzar el malware tras reinicios.
- Puede complementarse con:
- Copias del binario en rutas como ProgramData o carpetas de usuario.
- Uso de credenciales comprometidas y herramientas de administración remota para volver a entrar incluso después de intentos de limpieza.

Hash real de referencia (SHA-256):
Muestra pública asociada a Black Basta:
Code:
0cf4236d3b2d14d83fe46ea55a41fc4e9eef6ad4e29a23995b8e6fd0c07e7920

Mitigación con GetOverX Shield v3.0.2.0 o superior:
  • Block suspicious service creation (HIPS):
    - Configurar el módulo HIPS para:
    - Bloquear la creación y modificación de servicios por aplicaciones no firmadas o no confiables.
    - Generar alertas cuando un binario desconocido intente:
    - Crear un nuevo servicio.
    - Cambiar la ruta de un servicio existente hacia un ejecutable sospechoso.
    - Mantener una lista de herramientas de administración autorizadas que sí puedan gestionar servicios y denegar el resto por defecto.

  • Detect abnormal file encryption bursts (EDR):
    - Activar en el EDR la detección de:
    - Oleadas de cifrado (muchos ficheros abiertos, modificados y renombrados en muy poco tiempo).
    - Cambios masivos de extensión y creación de archivos cifrados en múltiples directorios.
    - Configurar respuesta automática para:
    - Matar el proceso responsable en cuanto se detecte patrón de ransomware.
    - Bloquear el hash del ejecutable.
    - (Opcional) Trigar el aislamiento de red del host afectado.

  • Quarantine payloads using AV + YARA signatures:
    - Mantener el motor Antivirus actualizado con:
    - Firmas específicas de Black Basta y sus loaders.
    - Reglas YARA que identifiquen patrones usados por la familia (payloads y droppers).
    - Ejecutar escaneos:
    - Programados en servidores, estaciones críticas y shares de red.
    - Bajo demanda en sistemas sospechosos.
    - Cuarentenar inmediatamente cualquier binario que coincida con firmas AV/YARA, evitando su ejecución.

  • Sandbox suspicious attachments before execution:
    - Enviar a la Sandbox:
    - Adjuntos de correo sospechosos (ZIP, DOCX, PDFs con macros, etc.).
    - Ejecutables y scripts descargados desde enlaces no confiables.
    - Observar si:
    - Intentan cifrar archivos en la VM de prueba.
    - Crean servicios, tareas programadas o claves de persistencia.
    - Se comunican con dominios/IPs desconocidos.
    - Sólo permitir su uso en el entorno real si superan el análisis sin indicadores maliciosos.

Notas opcionales:
- Black Basta es un actor de ransomware de alto perfil asociado a campañas dirigidas contra organizaciones medianas y grandes, con fuerte énfasis en velocidad de cifrado y técnicas de doble extorsión.