Vinculan Tácticas del Ransomware CACTUS con Antiguos Afiliados de Black Basta
En un reciente análisis, se ha descubierto que los actores de amenazas detrás de las familias de ransomware Black Basta y CACTUS utilizan el mismo módulo BackConnect (BC) para mantener el control persistente sobre los sistemas infectados. Este hallazgo sugiere que los afiliados anteriormente asociados con Black Basta podrían haber migrado a CACTUS.
Una vez que el sistema es comprometido, este módulo otorga a los atacantes una amplia gama de capacidades de control remoto, permitiéndoles ejecutar comandos en la máquina infectada. Esto les posibilita robar datos sensibles, como credenciales de inicio de sesión, información financiera y archivos personales.
Es importante destacar que los detalles del módulo BC, que la compañía de ciberseguridad Trend Micro está rastreando como QBACKCONNECT debido a sus similitudes con el cargador QakBot, fueron documentados por primera vez a finales de enero de 2025 por el equipo de Inteligencia Cibernética de Walmart y Sophos, este último ha designado al grupo con el nombre STAC5777.
En el último año, las cadenas de ataque de Black Basta han utilizado cada vez más tácticas de bombardeo de correos electrónicos para engañar a los objetivos potenciales y hacer que instalen Quick Assist, después de ser contactados por el actor de la amenaza bajo la apariencia de personal de soporte técnico o de helpdesk.
El acceso obtenido sirve entonces como un conducto para cargar lateralmente un cargador DLL malicioso ("winhttp.dll") llamado REEDBED utilizando OneDriveStandaloneUpdater.exe, un ejecutable legítimo responsable de actualizar Microsoft OneDrive. El cargador finalmente descifra y ejecuta el módulo BC.
Trend Micro informó que observó un ataque de ransomware CACTUS que empleó el mismo modus operandi para desplegar BackConnect, pero que también fue más allá para llevar a cabo varias acciones post-explotación como movimiento lateral y exfiltración de datos. Sin embargo, los esfuerzos para cifrar la red de la víctima terminaron en fracaso.
La convergencia de tácticas adquiere una importancia especial a la luz de las recientes filtraciones de registros de chat de Black Basta que revelaron el funcionamiento interno y la estructura organizativa de la banda de cibercrimen.
Específicamente, ha surgido que los miembros del grupo motivado financieramente compartieron credenciales válidas, algunas de las cuales han sido obtenidas de registros de ladrones de información. Otros puntos de acceso inicial prominentes incluyen portales de Protocolo de Escritorio Remoto (RDP) y puntos finales de VPN.
"Los actores de amenazas están utilizando estas tácticas, técnicas y procedimientos (TTP) — vishing, Quick Assist como herramienta remota y BackConnect — para desplegar el ransomware Black Basta", dijo Trend Micro.
"Específicamente, hay evidencia que sugiere que los miembros han transitado del grupo de ransomware Black Basta al grupo de ransomware CACTUS. Esta conclusión se extrae del análisis de tácticas, técnicas y procedimientos (TTP) similares que están siendo utilizados por el grupo CACTUS."