BLACK BASTA DISTRIBUYE EL MALWARE PLUGX EN DISPOSITIVOS USB

31/01/2023

BOLETÍN NRO 2023-067

Investigadores de seguridad han descubierto que en la nueva campaña del grupo Black Basta no solo está cifrando y exfiltrando datos porque se detectó que están haciendo uso del malware PlugX para infectar cualquier dispositivo USB conectado a la red atacada.

Servicios Afectados

• Sistemas operativos Windows

Detalles Tecnicos

CVE: ---                                    Severidad:   ALTA

Una compañía de seguridad informo de los hallazgos, añadiendo que la nueva variante PlugX es un "wormable".

Este malware oculta los archivos del atacante en un dispositivo USB con una técnica novedosa, que hace que los archivos maliciosos solo sean visibles en un *nix SO o montando el dispositivo USB en una herramienta forense. Gracias a esta capacidad para eludir la detección, el malware PlugX pasa desapercibido ante la mayoría de los sistemas de seguridad.

Además, los investigadores indicaron que habían encontrado una variante similar de PlugX que puede infectar dispositivos USB y copiar todos los archivos Adobe PDF y Microsoft Word del host y a continuación, traslada las copias a una carpeta oculta creada automáticamente en el dispositivo USB.

Desde un punto de vista técnico, PlugX es un implante de segunda fase que es utilizado por varios grupos de ciberdelincuentes. 

La conexión entre el malware y Black Basta se deriva del hecho de que la herramienta de post-explotación Brute Ratel empleada por el ransomware en sus ataques es el mismo payload usado en las campañas de PLUGX.

Otra herramienta utilizada con frecuencia por Black Basta es Qakbot para crear un primer punto de entrada y moverse lateralmente dentro de las redes de las organizaciones.

Indicadores de Compromiso

Hash

MD5: 332a72da47a00532160f07144c69021b

SHA-256: 8ec37dac2beaa494dcefec62f0bf4ae30a6ce44b27a588169d8f0476bbc94115

MD5: b2d027b0bbba36851542a986ff63cd28

SHA-256: e72e49dc1d95efabc2c12c46df373173f2e20dab715caf58b1be9ca41ec0e172

MD5: 62c28a0c2495667e50df89dc4e507ca5

SHA-256: 0e9071714a4af0be1f96cffc3b0e58520b827d9e58297cb0e02d97551eca3799

MD5: 78775307e6f29a46e048b745c6193247

SHA-256: 39280139735145ba6f0918b684ab664a3de7f93b1e3ebcdd071a5300486b8d20

MD5: d6b026287816c646c29e32295f08afc2

SHA-256: 41a0407371124bcad7cab56227078ccd635ba6e6b4374b973754af96b7f58119

MD5: 0e6fed224cafca35776aa86922ad915a

SHA-256: 02aa5b52137410de7cc26747f26e07b65c936d019ee2e1afae268a00e78a1f7f

MD5: d3c2d06036f25284c9b60fb6a3ad555c

SHA-256: 2a07877cb53404888e1b6f81bb07a35bc804daa1439317bccde9c498a521644c

MD5: 1abc835af275e16c70790c81fa89ce72

SHA-256: 5d98d1193fcbb2479668a24697023829fc9dc1f7d31833c3c42b8380ef859ff1

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: Black Basta Deploys PlugX Malware in USB Devices With New Technique
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​