Risultati sul gruppo di ransomware Black Basta

21. Settembre 2022
| Non ci sono commenti
Notizie brevi sulla sicurezza informatica B2B

Condividi post

Unit 42, il team di analisi del malware di Palo Alto Networks, ha pubblicato un rapporto che descrive in dettaglio il gruppo di ransomware Black Basta, apparso per la prima volta nell'aprile 2022 e da allora in aumento. 

Dall'emergere del ransomware, i membri del gruppo sono stati molto attivi nella distribuzione e nell'estorsione delle società. Gli aggressori gestiscono un mercato e un blog sul crimine informatico in cui il gruppo elenca i nomi delle vittime, le descrizioni, la percentuale di pubblicazione, il numero di visite e tutti i dati esfiltrati.

Black Basta gestisce la propria pagina di fuga

Sebbene i membri siano attivi solo da pochi mesi, secondo le informazioni pubblicate sul loro sito leak, hanno già compromesso più di 75 aziende e istituzioni. Altri risultati chiave dell'indagine di Palo Alto Networks includono:

  • · Il RaaS utilizza la doppia estorsione come parte degli attacchi.
  • I dati di almeno 20 vittime sono stati pubblicati sul sito della fuga nelle prime due settimane dall'implementazione del ransomware.
  • · Secondo quanto riferito, il gruppo ha preso di mira diverse grandi aziende nei settori dei beni di consumo e industriali, dell'energia, delle risorse e dell'agricoltura, della produzione, dei servizi pubblici, dei trasporti, delle agenzie governative, dei servizi professionali e della consulenza e nel settore immobiliare.

Black Basta - un riassunto

Black Basta è un ransomware come servizio (RaaS) apparso per la prima volta nell'aprile 2022. Tuttavia, ci sono prove che sia in fase di sviluppo da febbraio. Gli operatori di Black Basta utilizzano una tecnica di doppia estorsione. Non solo crittografano i file sui sistemi di destinazione e richiedono riscatti per la decrittazione, ma mantengono anche un sito di fuga nel dark web dove minacciano di rilasciare informazioni sensibili se una vittima non paga il riscatto. I partner di Black Basta sono stati molto attivi nella diffusione di Black Basta e nell'estorsione delle imprese sin dalla prima comparsa del ransomware. Sebbene siano attivi solo da pochi mesi, secondo le informazioni pubblicate sul loro sito di fuga, hanno già infettato oltre 75 aziende e istituzioni al momento di questa pubblicazione. L'Unità 42 ha anche lavorato a diversi casi di Black Basta.

Black Basta crittografa solo parti dei file

Il ransomware è scritto in C++ e colpisce sia i sistemi operativi Windows che Linux. Crittografa i dati degli utenti con una combinazione di ChaCha20 e RSA-4096. Per accelerare il processo di crittografia, il ransomware crittografa in blocchi di 64 byte, lasciando 128 byte di dati non crittografati tra le sezioni crittografate. Più velocemente il ransomware esegue la crittografia, più sistemi possono essere potenzialmente compromessi prima che le difese si attivino. Questo è un fattore cruciale che i partner cercano quando si uniscono a un gruppo ransomware-as-a-service.

QBot funge da punto di ingresso

L'Unità 42 di Palo Alto Networks ha osservato che il gruppo ransomware Black Basta utilizza QBot come primo punto di ingresso per spostarsi lateralmente sulle reti compromesse. QBot, noto anche come Qakbot, è un ceppo di malware per Windows che è iniziato come trojan bancario e si è evoluto in un dropper di malware. È stato utilizzato anche da altri gruppi di ransomware, tra cui MegaCortex, ProLock, DoppelPaymer ed Egregor. Mentre questi gruppi di ransomware utilizzavano QBot per l'accesso iniziale, il gruppo Black Basta è stato osservato utilizzare QBot sia per l'accesso iniziale che per la distribuzione della rete laterale.

Seguiranno altri attacchi

Poiché gli attacchi di Black Basta nel 2022 sono stati una sensazione globale e ricorrente, è probabile che gli operatori e/o i loro partner affiliati dietro il servizio continueranno a prendere di mira ed estorcere le imprese. È anche possibile che questa non sia una nuova operazione, ma piuttosto un riavvio di un precedente gruppo di ransomware che ha portato con sé i suoi partner. A causa delle numerose somiglianze nelle tattiche, nelle tecniche e nelle procedure - come i blog che fanno vergognare le vittime, i portali di recupero, le tattiche di negoziazione e la rapidità con cui Black Basta ha radunato le sue vittime - il gruppo potrebbe includere membri attuali o ex del gruppo Conti. Maggiori informazioni su questa analisi, che segue altri recenti studi sui ransomware come Blue Sky e Cuba, sono disponibili online su Unit42 di PaloAltoNetworks.

Altro su PaloAltoNetworks.com

 

A proposito di Palo Alto Networks

Palo Alto Networks, leader globale nelle soluzioni di sicurezza informatica, sta plasmando il futuro basato sul cloud con tecnologie che trasformano il modo in cui lavorano le persone e le aziende. La nostra missione è essere il partner preferito per la sicurezza informatica e proteggere il nostro stile di vita digitale. Ti aiutiamo ad affrontare le maggiori sfide di sicurezza del mondo con un'innovazione continua che sfrutta le ultime scoperte in termini di intelligenza artificiale, analisi, automazione e orchestrazione. Fornendo una piattaforma integrata e potenziando un ecosistema di partner in crescita, siamo leader nella protezione di decine di migliaia di aziende su cloud, reti e dispositivi mobili. La nostra visione è un mondo in cui ogni giorno è più sicuro di quello precedente.

 

Articoli relativi all'argomento

Rapporto: 40% di phishing in più in tutto il mondo

L’attuale rapporto su spam e phishing di Kaspersky per il 2023 parla da solo: gli utenti in Germania sono alla ricerca ➡ Leggi di più

BSI stabilisce gli standard minimi per i browser web

La BSI ha rivisto lo standard minimo per i browser web per l'amministrazione e ha pubblicato la versione 3.0. Puoi ricordartelo ➡ Leggi di più

Il malware invisibile prende di mira le aziende europee

Gli hacker stanno attaccando molte aziende in tutta Europa con malware invisibili. I ricercatori ESET hanno segnalato un drammatico aumento dei cosiddetti attacchi AceCryptor tramite ➡ Leggi di più

Sicurezza informatica: base per LockBit 4.0 disinnescata

Trend Micro, in collaborazione con la National Crime Agency (NCA) del Regno Unito, ha analizzato la versione inedita che era in fase di sviluppo ➡ Leggi di più

MDR e XDR tramite Google Workspace

Che si tratti di un bar, di un terminal aeroportuale o di un ufficio a casa, i dipendenti lavorano in molti luoghi. Tuttavia, questo sviluppo comporta anche delle sfide ➡ Leggi di più

Test: software di sicurezza per endpoint e singoli PC

Gli ultimi risultati dei test del laboratorio AV-TEST mostrano ottime prestazioni di 16 soluzioni di protezione affermate per Windows ➡ Leggi di più

L'intelligenza artificiale su Enterprise Storage combatte il ransomware in tempo reale

NetApp è uno dei primi a integrare l'intelligenza artificiale (AI) e il machine learning (ML) direttamente nello storage primario per combattere il ransomware ➡ Leggi di più

FBI: Internet Crime Report conta 12,5 miliardi di dollari di danni 

L'Internet Crime Complaint Center (IC3) dell'FBI ha pubblicato il suo Internet Crime Report 2023, che include informazioni provenienti da oltre 880.000 persone ➡ Leggi di più

Brevi notizie
, , , , ,