¿Qué relación tiene Black Basta con Conti?

Black Basta fue creado por miembros del equipo de pentesters de Conti tras su disolución en mayo de 2022. La evidencia incluye análisis de blockchain (fondos de Conti fluyendo a wallets de Black Basta), TTPs idénticas, y similitudes en código. CrowdStrike atribuye ambos al cluster Wizard Spider.

¿Qué fue el Black Basta Buster?

Herramienta de descifrado publicada por SRLabs en diciembre de 2023. Explotaba un bug en la implementación de XChaCha20 de Black Basta: el keystream era predecible para archivos entre 5.000 bytes y 1 GB debido a un fallo en el counter del cifrado. Black Basta parcheó el bug en enero de 2024.

¿Qué partnership tenía Black Basta con QakBot?

QakBot (Qbot) era el principal vector de acceso inicial para Black Basta. QakBot infectaba víctimas vía phishing y proporcionaba acceso a los operadores de Black Basta. La relación se interrumpió cuando el FBI desmanteló QakBot en agosto de 2023 (Operation Duck Hunt).

¿Black Basta sigue activo?

Sí, aunque con un perfil más bajo desde 2024. La pérdida de QakBot como vector de acceso, la publicación del decryptor, y la filtración de chats internos en febrero de 2025 han debilitado al grupo, pero sigue operando.

¿Cuántas víctimas ha tenido Black Basta?

Más de 500 organizaciones a nivel global desde abril de 2022. CISA y FBI reportaron más de 500 víctimas en su advisory conjunto de mayo de 2024, con ingresos estimados superiores a 100 millones USD.

AvanzadoransomwareBlack BastaContiQakBotcriptografíaXChaCha20

Black Basta: El Sucesor de Conti que Fue Descifrado por un Bug Criptográfico

Análisis técnico de Black Basta ransomware: conexión directa con Conti, partnership con QakBot, el bug criptográfico en XChaCha20 que permitió descifrado temporal (Black Basta Buster de SRLabs), y su posición como amenaza activa en 2024-2026.

MalwareIntel Research·21 de mayo de 2026·9 min lectura

Serie: Ransomware — Parte 15

El tercer hijo de Conti

Si Royal/BlackSuit heredó el equipo de desarrollo de Conti, Black Basta heredó a los pentesters. Apareció en abril de 2022 (un mes antes de la disolución oficial de Conti) y rápidamente se convirtió en uno de los grupos de ransomware más activos, acumulando más de 500 víctimas en dos años.

Black Basta se distingue por tres elementos: su partnership con QakBot como vector de acceso, un bug criptográfico que permitió descifrado temporal, y una filtración de chats internos en 2025 que reveló tensiones operativas similares a las que destruyeron a Conti.

Perfil del grupo

Atributo	Detalle
Activo	Abril 2022 - presente
Predecesor	Conti (equipo de pentesters)
Modelo	Grupo cerrado (no RaaS abierto)
Víctimas	Más de 500 (mayo 2024, según FBI/CISA)
Ingresos estimados	Más de 100 millones USD
Nombres	Black Basta, Cardinal (Trellix), Storm-1811 (Microsoft)
Alias actor	Wizard Spider cluster (CrowdStrike)

Conexión con Conti

Evidencia

Tipo de evidencia	Detalle
Blockchain	Chainalysis identificó flujos de fondos desde wallets de Conti a wallets de Black Basta
TTPs	Mismas herramientas (Cobalt Strike con profiles similares), misma metodología de post-explotación
Timing	Black Basta apareció un mes antes de que Conti cerrara, sugiriendo planificación previa
Personal	Investigadores vinculan miembros específicos del equipo de pentesters de Conti con operaciones de Black Basta
Código	Similitudes en el locker (no identidad completa, pero patrones compartidos)

División del legado Conti

Grupo sucesor	Herencia principal
Royal/BlackSuit	Equipo core de desarrollo
Black Basta	Equipo de pentesters
Karakurt	Equipo de exfiltración (solo extorsión, sin cifrado)
BlackByte	Miembros mixtos

El partnership con QakBot

QakBot como vector de acceso

QakBot (también conocido como Qbot o Pinkslipbot) fue un banking trojan reconvertido en loader, operado por TA570 (Proofpoint). Su partnership con Black Basta funcionaba así:

QakBot infectaba víctimas vía campañas de phishing masivas (emails con archivos adjuntos o enlaces)
QakBot se instalaba en la máquina comprometida
QakBot evaluaba el entorno y descargaba Cobalt Strike beacon
El beacon daba acceso a los operadores de Black Basta
Black Basta ejecutaba la post-explotación y el cifrado

Este modelo era eficiente: QakBot proporcionaba un flujo constante de accesos a redes corporativas, y Black Basta se concentraba en la monetización.

Operation Duck Hunt: el fin de QakBot

En agosto de 2023, el FBI ejecutó Operation Duck Hunt, desmantelando la infraestructura de QakBot:

Incautación de 52 servidores a nivel global
Desinstalación remota de QakBot de 700.000 máquinas infectadas
Incautación de 8,6 millones USD en criptomonedas

El impacto en Black Basta fue inmediato: perdió su principal vector de acceso inicial. En los meses siguientes, Black Basta diversificó sus vectores:

Migración a otros loaders (DarkGate, Pikabot)
Explotación de vulnerabilidades (ConnectWise ScreenConnect CVE-2024-1709)
Social engineering: llamadas de vishing (voice phishing) haciéndose pasar por soporte IT
Abuso de Microsoft Teams para contactar empleados de víctimas

La técnica de vishing con Teams

Tras perder QakBot, Black Basta adoptó una técnica de social engineering innovadora:

Inundar el email de la víctima con spam (miles de emails de suscripciones) creando un problema
Contactar a la víctima por Microsoft Teams haciéndose pasar por IT Help Desk
Ofrecer "ayuda" para resolver el problema de spam
Convencer a la víctima de instalar AnyDesk, Quick Assist o similar
Usar el acceso remoto para instalar Cobalt Strike

Análisis técnico

Cifrado

Componente	Especificación
Cifrado simétrico	XChaCha20
Cifrado asimétrico	RSA-4096
Cifrado parcial	Sí, basado en tamaño de archivo
Extensión	`.basta`
Nota	`readme.txt`
Plataformas	Windows, Linux/ESXi

Esquema de cifrado parcial

Black Basta usa cifrado intermitente basado en el tamaño del archivo:

Tamaño archivo	Estrategia
Menos de 5.000 bytes	No cifra (demasiado pequeño)
5.000 bytes - 1 GB	Cifra bloques de 64 bytes cada 128 bytes
Más de 1 GB	Cifra solo los primeros N bloques

La franja de 5.000 bytes a 1 GB fue exactamente donde residía el bug criptográfico.

Variante Linux/ESXi

Black Basta tiene una variante Linux escrita en C++ que:

Cifra archivos VMDK en datastores ESXi
Usa /sbin/esxcli para enumerar y detener VMs
Modifica el MOTD (Message of the Day) de ESXi con la nota de rescate
Usa ChaCha20 (no XChaCha20) en la variante Linux

El bug criptográfico: Black Basta Buster

El descubrimiento

En diciembre de 2023, SRLabs (Security Research Labs, Berlín) publicó "Black Basta Buster", una herramienta de descifrado que explotaba un bug en la implementación de XChaCha20 de Black Basta.

El fallo técnico

El bug estaba en el cifrado de archivos de tamaño entre 5.000 bytes y 1 GB:

Black Basta cifraba estos archivos con bloques de 64 bytes, dejando 64 bytes sin cifrar entre cada bloque cifrado
El keystream de XChaCha20 se generaba con un contador que tenía un fallo: para ciertos tamaños de archivo, el mismo segmento de keystream se repetía
Conociendo 64 bytes consecutivos del plaintext original (frecuente en muchos formatos de archivo), se podía derivar el segmento de keystream correspondiente
Con el keystream parcial, se podía descifrar el resto del archivo

Condiciones para el descifrado

El archivo debía tener entre 5.000 bytes y 1 GB
Se necesitaba conocer al menos 64 bytes del contenido original (known plaintext)
Para archivos donde no se conocía el plaintext, los 64 bytes no cifrados entre bloques a veces contenían suficiente información para inferir el contenido

La corrección

Black Basta parcheó el bug en enero de 2024, aproximadamente un mes después de la publicación de SRLabs. La corrección modificó la generación del contador de XChaCha20 para eliminar la repetición del keystream.

Las víctimas cifradas después de enero de 2024 no son descifrables con Black Basta Buster.

La filtración de chats (febrero 2025)

Qué se filtró

En febrero de 2025, chats internos de Black Basta fueron filtrados en Telegram, en un eco de los Conti Leaks de 2022. El volumen fue menor pero revelador:

Mensajes entre operadores sobre targeting de víctimas
Discusiones sobre pagos y reparto
Tensiones internas sobre dirección estratégica
Quejas sobre la pérdida de QakBot y la necesidad de nuevos vectores
Discusiones sobre vishing como técnica de reemplazo

Impacto

La filtración causó:

Pérdida de confianza interna (misma dinámica que destruyó Conti)
Exposición de TTPs actualizadas, permitiendo mejores detecciones
Reducción temporal del volumen de ataques
Posible fragmentación del grupo

Ataques notables

Víctima	Fecha	Sector	País
ABB (automatización industrial)	May 2023	Tecnología/Industrial	Suiza
Capita	Mar 2023	Outsourcing	UK
American Dental Association	Abr 2022	Salud/Profesional	EEUU
Sobeys (cadena supermercados)	Nov 2022	Retail	Canadá
Toronto Public Library	Oct 2023	Cultura/Educación	Canadá
Ascension Health	May 2024	Salud	EEUU
Hyundai Europe	Ene 2024	Automoción	Alemania

Ascension Health (mayo 2024)

El ataque a Ascension, uno de los mayores sistemas de salud de EEUU (140 hospitales), fue el incidente más impactante:

Sistemas clínicos offline durante semanas
Desvío de ambulancias a otros hospitales
Registros médicos inaccesibles, personal trabajando con papel
Impacto en la atención de pacientes

El ataque a un sistema de salud de esta escala generó atención del Congreso de EEUU y contribuyó a propuestas regulatorias de ciberseguridad para el sector sanitario.

Detección

Indicadores técnicos

Indicador	Tipo	Descripción
`.basta`	Extensión	Archivos cifrados
`readme.txt` con "Black Basta"	Nota	Nota de rescate
Spam masivo seguido de llamada Teams	Social engineering	Técnica de vishing post-QakBot
AnyDesk/Quick Assist post-llamada	Proceso	Acceso remoto tras social engineering
XChaCha20 patterns en I/O	Patrón	Bloques de 64 bytes alternando cifrado/no cifrado
DarkGate/Pikabot loader	Malware	Vectores de acceso post-QakBot

Detección del vishing vía Teams

La técnica de social engineering vía Microsoft Teams es detectable:

Spam bombing: alertar cuando un usuario recibe cientos de emails de suscripciones en minutos
External Teams contact: alertar cuando un usuario de Teams externo contacta empleados tras un pico de spam
RMM installation post-call: alertar en instalación de AnyDesk, Quick Assist, TeamViewer fuera de política
Cobalt Strike post-RMM: detección de beacon tras uso de herramienta de acceso remoto

Perspectiva 2026

Black Basta ha perdido impulso desde el pico de 2023: la pérdida de QakBot, el decryptor de SRLabs y la filtración de chats han debilitado al grupo. Sin embargo, sigue activo y la técnica de vishing vía Teams demuestra capacidad de adaptación. La pregunta es si el grupo se fragmentará (como Conti antes) o logrará estabilizarse bajo una nueva estrategia operativa.

Fuentes y referencias

FBI/CISA. "#StopRansomware: Black Basta." Joint Advisory AA24-131A, May 2024.
SRLabs. "Black Basta Buster: Recovering Files Encrypted by Black Basta Ransomware." December 2023.
Chainalysis. "Black Basta-Conti Financial Links." Chainalysis Reactor Analysis, 2023.
FBI. "Operation Duck Hunt: QakBot Disruption." August 2023.
Microsoft Threat Intelligence. "Storm-1811 / Black Basta Vishing via Teams." 2024.
Rapid7. "Black Basta Social Engineering TTPs." 2024.
CrowdStrike. "Black Basta: Wizard Spider Cluster Analysis." 2023.
Trend Micro. "Black Basta Ransomware Technical Analysis." 2023.
Sophos. "Black Basta: From QakBot to Ransomware." SophosLabs, 2023.
BleepingComputer. "Black Basta ransomware's internal chat logs leaked online." February 2025.
Elliptic. "Black Basta: Following the Money." 2024.
MITRE ATT&CK. "Black Basta TTPs." https://attack.mitre.org/

Preguntas frecuentes

Libros recomendados

Serious Cryptography (Jean-Philippe Aumasson)

Amazon (enlace afiliado)

Practical Malware Analysis (Sikorski & Honig)