Una filtración masiva de Black Basta expone el funcionamiento interno de un gigante del ransomware

En un hecho poco común y sorprendente, se filtró en Internet una gran cantidad de registros de chat internos de la banda de ransomware Black Basta , lo que ofrece una mirada sin precedentes tras bambalinas de una de las organizaciones cibercriminales más peligrosas que operan en la actualidad. La filtración ya se está comparando con las infames filtraciones de Conti de principios de 2022, que expusieron las operaciones internas de otro conocido sindicato de ransomware.

Esta última revelación, divulgada públicamente el 20 de febrero de 2025, proviene de un denunciante conocido como ExploitWhispers, quien supuestamente publicó un archivo JSON de 47 MB que contiene más de 200.000 mensajes de chat intercambiados por miembros de Black Basta. Los chats cubren un año completo de actividad, desde septiembre de 2023 hasta septiembre de 2024, y ahora están siendo analizados meticulosamente por investigadores de ciberseguridad de todo el mundo.

¿Por qué se expuso Black Basta?

Según los mensajes compartidos con la filtración, la motivación para la revelación puede provenir de la decisión de Black Basta de atacar a los bancos rusos, una medida que, en el mundo de la ciberdelincuencia en habla rusa, a menudo se considera un error imperdonable. De ser cierto, esto explicaría por qué un informante decidió filtrar material tan sensible.

Además, la firma de inteligencia de amenazas Prodaft señala que Black Basta ha estado prácticamente inactivo desde principios de 2025, supuestamente debido a disputas internas. Con el caos gestándose tras bambalinas, la filtración añade otra capa de incertidumbre sobre el futuro del grupo.

Lo que revelan los chats filtrados

La filtración no es solo una mirada fascinante a las personalidades y las conversaciones cotidianas de los operadores de Black Basta: es un modelo de cómo la pandilla ejecuta sus ataques, selecciona objetivos y explota vulnerabilidades.

Las empresas de seguridad VulnCheck y Qualys ya han publicado los primeros hallazgos, centrándose en los detalles técnicos ocultos en los registros. Según el análisis de VulnCheck, los chats mencionan 62 CVE (vulnerabilidades y exposiciones comunes) únicas, algunas de las cuales se discutieron a los pocos días de su divulgación pública y algunas incluso antes de que se publicaran oficialmente.

Lo que es más alarmante es que los registros sugieren que Black Basta no solo se basa en exploits conocidos públicamente. Hay pruebas claras de que el grupo tiene los recursos para desarrollar nuevos exploits y ha debatido la posibilidad de comprar vulnerabilidades exclusivas de otros actores de amenazas.

Qualys ha ido un paso más allá y ha elaborado una lista de prioridades para los defensores, que incluye:

  • Los 20 principales CVE que requieren parches inmediatos.
  • Las 10 principales configuraciones erróneas que Black Basta explota con más frecuencia.
  • Un apéndice completo de todas las vulnerabilidades mencionadas en la filtración.

Para los equipos de seguridad, esta filtración brinda una oportunidad única de comprender exactamente qué puntos débiles son más atractivos para los operadores de ransomware y priorizar las defensas en consecuencia.

Un estudio de caso sobre operaciones de ransomware

Más allá de las vulnerabilidades, investigadores como Kela y BushidoToken han analizado el manual operativo del grupo. Un ejemplo detallado es el ataque de 2023 a una empresa brasileña, que comenzó con credenciales robadas a través de un malware de robo de información. En solo dos días, Black Basta había comprometido la red, robado datos confidenciales y desplegado ransomware. Los métodos del grupo (acceso inicial a través de credenciales comprometidas, movimiento lateral rápido, exfiltración de datos y extorsión pública) ilustran un enfoque altamente refinado y a escala industrial para la extorsión cibernética.

Estos hallazgos confirman que Black Basta opera como un negocio bien engrasado, que elabora perfiles de sus víctimas utilizando herramientas como ZoomInfo para evaluar los montos de los rescates y las tácticas de presión.

Conflicto interno y crisis de conciencia

Una de las revelaciones más inesperadas de la filtración es el lado humano de los atacantes. Durante su ataque de 2024 a Ascension Health, los mensajes de chat revelan un creciente malestar dentro del grupo a medida que se hacían evidentes las consecuencias de sus acciones.

Ante la posibilidad de dañar a los pacientes, incluidos los casos de cuidados críticos, los miembros debatieron si proporcionar un descifrador gratuito y eliminar los datos robados. Los comentarios de figuras clave como "tinker" y "gg" muestran una clara conciencia de que interrumpir las operaciones de un hospital podría escalar de un delito cibernético a cargos de terrorismo si se perdieran vidas.

En un gesto poco común, Black Basta no solo proporcionó una clave de descifrado gratuita, sino que también supuestamente borró los datos robados, lo que indica un momento inusual de autoconservación (o tal vez incluso de moralidad).

¿Está Black Basta al borde del colapso?

Con todo este revuelo, algunos expertos especulan que el grupo podría estar siguiendo el mismo camino que Conti, que se disolvió tras sus propias filtraciones internas y resurgió con nuevos nombres. Varios comentarios filtrados sugieren que Black Basta ya estaba considerando un cambio de nombre completo debido a la creciente presión de las fuerzas del orden y el público.

Si bien por ahora sigue siendo una especulación, la idea de que Black Basta desaparezca y resurja bajo un alias diferente en algún momento de 2025 se vuelve más plausible cada día que pasa.

Qué significa esto para los defensores

Esta filtración es más que un simple drama cibernético: es información procesable.
Para los equipos de seguridad, la filtración de Black Basta ofrece:

  • Aplicación de parches de vulnerabilidad prioritarios en función de la explotación en el mundo real.
  • Información sobre los métodos y plazos de los ataques.
  • Comprensión de la dinámica grupal interna que podría indicar cambios en el panorama del ransomware.

Las organizaciones deberían actuar ahora para revisar los CVE y las configuraciones erróneas expuestas en la filtración, fortalecer las defensas y permanecer alertas. Si bien Black Basta puede estar enfrentando problemas internos, el ransomware en su conjunto sigue siendo una amenaza persistente y en evolución.

Reflexiones finales

La filtración de Black Basta es una advertencia y una ventaja estratégica para los defensores de la ciberseguridad. Confirma que incluso las bandas de ransomware más sofisticadas no son inmunes a los conflictos internos, los errores humanos y la exposición.

Pero no se equivoquen: ya sea que Black Basta se disuelva, cambie de marca o continúe, los métodos y vulnerabilidades revelados en estos chats impulsarán operaciones de ransomware mucho más allá de 2025.

La mejor defensa ahora es la conciencia, la preparación y la acción rápida.

En Zane
March 7, 2025
Computer Security
Spanish
March 7, 2025
Computer Security

Entradas populares

¿Qué es el archivo OperaGXSetup.exe y es malicioso?

Hace 11 months

Eporner.com y por qué sus excesivas ventanas emergentes son...

Hace 12 days

Tome nota: alguien lo agregó como su estafa de correo...

Hace 10 months

HackTool:Win32/Crack: una amenaza maliciosa que puede dañar...

Hace 7 months

Una amenaza potencialmente grave: Trojan:Win32/Suschil!rfn

Hace 19 days

¿Qué es la amenaza del caballo de Troya Packunwan y cómo puede...

Hace 11 months
Spanish
Cargando...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.