Un nuevo informe ha revelado conexiones entre los grupos de ransomware Black Basta y Cactus, mostrando que ambos utilizan las mismas tácticas de ingeniería social y el malware BackConnect proxy para obtener acceso posterior a las redes corporativas.
Conexión entre Black Basta y Cactus
En enero de 2025, se descubrió que el malware Zloader introducía una nueva funcionalidad de túneles DNS, lo que llevó a los investigadores a descubrir que Zloader estaba entregando BackConnect, un malware que funciona como herramienta de proxy para acceso remoto a servidores comprometidos.
BackConnect permite a los ciberdelincuentes enmascarar su tráfico y expandir sus ataques dentro de redes corporativas sin ser detectados.
Se ha identificado que tanto Black Basta como Cactus están utilizando BackConnect para explotar redes comprometidas, lo que sugiere una posible superposición de miembros entre los dos grupos de ransomware.
Estrategias de Ataque Comunes
Ambos grupos emplean tácticas similares de ingeniería social para penetrar redes. En un ataque reciente, los ciberdelincuentes enviaron un gran volumen de correos electrónicos a sus víctimas, una táctica asociada principalmente con Black Basta.
Una vez que la víctima interactuaba con los correos, los atacantes se comunicaban a través de Microsoft Teams haciéndose pasar por un empleado del servicio de soporte de IT, y convencían a la víctima de permitirles acceso remoto a través de Windows Quick Assist.
¿Una Nueva Versión o Colaboración? ️♂️
El Cactus ransomware, que emergió a principios de 2023, ha mostrado muchas similitudes con Black Basta, utilizando scripts de PowerShell y una rutina de cifrado que inicialmente era exclusiva de Cactus.
Aunque hay similitudes evidentes, se plantea la duda si Cactus es solo un rebranding de Black Basta o si simplemente los grupos comparten miembros.
Declive de Black Basta
Black Basta ha comenzado a desvanecerse desde diciembre de 2024, con su sitio de filtraciones fuera de línea durante la mayor parte de 2025.
Se cree que muchos de sus miembros han comenzado a unirse a otros grupos de ransomware, como Cactus, lo que podría explicar el declive de Black Basta y la continuidad de Cactus en los ataques.