Unit 42, il team di analisi del malware di Palo Alto Networks, ha pubblicato un rapporto che descrive in dettaglio il gruppo di ransomware Black Basta, apparso per la prima volta nell'aprile 2022 e da allora in aumento.
Dall'emergere del ransomware, i membri del gruppo sono stati molto attivi nella distribuzione e nell'estorsione delle società. Gli aggressori gestiscono un mercato e un blog sul crimine informatico in cui il gruppo elenca i nomi delle vittime, le descrizioni, la percentuale di pubblicazione, il numero di visite e tutti i dati esfiltrati.
Black Basta gestisce la propria pagina di fuga
Sebbene i membri siano attivi solo da pochi mesi, secondo le informazioni pubblicate sul loro sito leak, hanno già compromesso più di 75 aziende e istituzioni. Altri risultati chiave dell'indagine di Palo Alto Networks includono:
- · Il RaaS utilizza la doppia estorsione come parte degli attacchi.
- I dati di almeno 20 vittime sono stati pubblicati sul sito della fuga nelle prime due settimane dall'implementazione del ransomware.
- · Secondo quanto riferito, il gruppo ha preso di mira diverse grandi aziende nei settori dei beni di consumo e industriali, dell'energia, delle risorse e dell'agricoltura, della produzione, dei servizi pubblici, dei trasporti, delle agenzie governative, dei servizi professionali e della consulenza e nel settore immobiliare.
Black Basta - un riassunto
Black Basta è un ransomware come servizio (RaaS) apparso per la prima volta nell'aprile 2022. Tuttavia, ci sono prove che sia in fase di sviluppo da febbraio. Gli operatori di Black Basta utilizzano una tecnica di doppia estorsione. Non solo crittografano i file sui sistemi di destinazione e richiedono riscatti per la decrittazione, ma mantengono anche un sito di fuga nel dark web dove minacciano di rilasciare informazioni sensibili se una vittima non paga il riscatto. I partner di Black Basta sono stati molto attivi nella diffusione di Black Basta e nell'estorsione delle imprese sin dalla prima comparsa del ransomware. Sebbene siano attivi solo da pochi mesi, secondo le informazioni pubblicate sul loro sito di fuga, hanno già infettato oltre 75 aziende e istituzioni al momento di questa pubblicazione. L'Unità 42 ha anche lavorato a diversi casi di Black Basta.
Black Basta crittografa solo parti dei file
Il ransomware è scritto in C++ e colpisce sia i sistemi operativi Windows che Linux. Crittografa i dati degli utenti con una combinazione di ChaCha20 e RSA-4096. Per accelerare il processo di crittografia, il ransomware crittografa in blocchi di 64 byte, lasciando 128 byte di dati non crittografati tra le sezioni crittografate. Più velocemente il ransomware esegue la crittografia, più sistemi possono essere potenzialmente compromessi prima che le difese si attivino. Questo è un fattore cruciale che i partner cercano quando si uniscono a un gruppo ransomware-as-a-service.
QBot funge da punto di ingresso
L'Unità 42 di Palo Alto Networks ha osservato che il gruppo ransomware Black Basta utilizza QBot come primo punto di ingresso per spostarsi lateralmente sulle reti compromesse. QBot, noto anche come Qakbot, è un ceppo di malware per Windows che è iniziato come trojan bancario e si è evoluto in un dropper di malware. È stato utilizzato anche da altri gruppi di ransomware, tra cui MegaCortex, ProLock, DoppelPaymer ed Egregor. Mentre questi gruppi di ransomware utilizzavano QBot per l'accesso iniziale, il gruppo Black Basta è stato osservato utilizzare QBot sia per l'accesso iniziale che per la distribuzione della rete laterale.
Seguiranno altri attacchi
Poiché gli attacchi di Black Basta nel 2022 sono stati una sensazione globale e ricorrente, è probabile che gli operatori e/o i loro partner affiliati dietro il servizio continueranno a prendere di mira ed estorcere le imprese. È anche possibile che questa non sia una nuova operazione, ma piuttosto un riavvio di un precedente gruppo di ransomware che ha portato con sé i suoi partner. A causa delle numerose somiglianze nelle tattiche, nelle tecniche e nelle procedure - come i blog che fanno vergognare le vittime, i portali di recupero, le tattiche di negoziazione e la rapidità con cui Black Basta ha radunato le sue vittime - il gruppo potrebbe includere membri attuali o ex del gruppo Conti. Maggiori informazioni su questa analisi, che segue altri recenti studi sui ransomware come Blue Sky e Cuba, sono disponibili online su Unit42 di PaloAltoNetworks.
Altro su PaloAltoNetworks.com
A proposito di Palo Alto Networks Palo Alto Networks, leader globale nelle soluzioni di sicurezza informatica, sta plasmando il futuro basato sul cloud con tecnologie che trasformano il modo in cui lavorano le persone e le aziende. La nostra missione è essere il partner preferito per la sicurezza informatica e proteggere il nostro stile di vita digitale. Ti aiutiamo ad affrontare le maggiori sfide di sicurezza del mondo con un'innovazione continua che sfrutta le ultime scoperte in termini di intelligenza artificiale, analisi, automazione e orchestrazione. Fornendo una piattaforma integrata e potenziando un ecosistema di partner in crescita, siamo leader nella protezione di decine di migliaia di aziende su cloud, reti e dispositivi mobili. La nostra visione è un mondo in cui ogni giorno è più sicuro di quello precedente.