A día de hoy Black Basta es uno de los grupos más activos y temibles que ejecuta ataques de ransomware. Pero ¿cuánto habría 'facturado' esta pandilla vinculada a Rusia desde que se iniciara la invasión a Ucrania?
Esta es la pregunta que ha tratado de responder el proveedor de seguros basado en ciencia de datos e IA Corvus Insurance. La compañía ha usado la herramienta forense de blockchain Elliptic Investigator para hacer sus cálculos.
Gracias a ella han podido descubrir patrones en las actividades online del grupo, rastreando una gran cantidad de rescates de Bitcoin con un alto grado de exactitud.
La firma ha descubierto que desde abril de 2022 Black Basta ha recibido al menos 107 millones de dólares en pagos de rescate, obtenidos entre más de 90 víctimas, según se hace eco Infosecurity Magazine.
La operación que más le llenó los bolsillos ascendió a 9 millones de dólares. Además, al menos 18 de todos los rescates superaron el millón de dólares. Con los datos sobre la mesa estima que el pago promedio del rescate fue de 1,2 millones de dólares.
"Cabe señalar que estas cifras son un límite inferior. Es probable que se hayan realizado otros pagos de rescate a Black Basta que nuestro análisis aún debe identificar, particularmente en relación con las víctimas recientes", añade.
Lo mismo, pero con otro nombre
La investigación de Corvus también ha permitido establecer vínculos entre Black Basta y la pandilla de ransomware Conti, así como el malware Quakbot.
No es una teoría nueva, ya que durante mucho tiempo se ha especulado con que el primero es una rama del segundo. De hecho, resultaba bastante sospechoso que Conti desapareciera al aparecer Black Basta. Además, les unen los mismos sectores objetivo: empresas de manufactura, construcción/ingeniería, venta mayorista/minorista, servicios financieros y transporte y logística.
La compañía de seguros también pudo constatar que los dos grupos tenían un flujo económico de Bitcoins, con transacciones desde wallets vinculados a Conti hasta otros en propiedad de Black Basta.
"Este vínculo entre los grupos también es visible en la cadena de bloques, con partes de los rescates de algunas víctimas enviadas a las billeteras de Qakbot", continua Corvus .
“Estas transacciones indican que aproximadamente el 10% de la cantidad del rescate se envió a Qakbot, en los casos en que participaron en brindar acceso a la víctima. Qakbot fue interrumpido en agosto de 2023 por una operación policial multinacional, lo que quizás explique una marcada reducción de los ataques de Black Basta en la segunda mitad de 2023”, concluye.