Il provider di sicurezza Quadrant è riuscito a seguire in diretta un attacco di Black Basta e a valutarne il background tecnico. Gli esperti non conoscono i processi a Black Basta, ma hanno anche scoperto le scappatoie, che ora possono essere monitorate. Questo è un duro colpo per l'intera struttura di Black Basta, che non può più essere utilizzata in questo modo.
Quadrant ha recentemente assistito un cliente in una compromissione a livello aziendale da parte del gruppo ransomware Black Basta. Questo gruppo è un'organizzazione "ransomware as a service" (RaaS) nota per prendere di mira aziende medio-grandi.
Valutato l'attacco live di Black Basta
L'azienda fornisce ora una panoramica dell'andamento del compromesso e un'analisi tecnica del malware osservato e delle tecniche che vanno da una campagna di phishing riuscita a un tentativo di esplosione di un ransomware. Sebbene alcuni dettagli precisi delle azioni dell'autore della minaccia siano ancora sconosciuti, le prove raccolte hanno ora permesso di trarre conclusioni su molti degli exploit. Sebbene i dati dei clienti siano stati modificati, gli indicatori di compromissione, inclusi i nomi di dominio dannosi, non sono stati modificati.
L'intero attacco è iniziato con un'e-mail di phishing riconosciuta. Dopo le e-mail di phishing iniziali, l'autore della minaccia ha inviato ulteriori e-mail di phishing al client utilizzando nomi di account simili da domini diversi. Con “Qakbot”, le e-mail contenevano un sofisticato trojan che avviava tentativi di connessione. Il motore Suricata ha rilevato questi tentativi di connessione, ma non è stato generato alcun avviso dal motore di ispezione dei pacchetti.
Contatti diretti al dominio russo C2
Quadrant monitora il traffico aziendale in entrata e in uscita utilizzando appliance PIE (Package Inspection Engine) locali che eseguono il motore di rilevamento Suricata. Infine, il malware è riuscito a trovare un server C2 attivo. Tra la prima infezione e la prima comunicazione riuscita tra un host compromesso e il dominio C2 sono trascorsi circa 35 minuti.
Il payload della seconda fase, successivamente ritenuto essere probabilmente il framework di test di penetrazione Brute Ratel, è stato quindi scaricato tramite una connessione a un IP dalla Russia. L'accesso come amministratore è stato quindi ottenuto attraverso vari passaggi. Successivamente, l'autore della minaccia ha anche aggiunto nuovi account amministratore all'ambiente. Infine, i server ESXi sono stati crittografati, ma l'attacco è stato contenuto e sono stati evitati gravi danni.
Tutte le intuizioni ottenute riguardo alle "operazioni di backend" di Black Basta durante l'attacco offensivo sono state preparate da Quadrant in una storia esperta. Il retroscena con tutti i dati tecnici sull'attacco Black Basta è stato illuminato e reso trasparente per altri esperti. Ciò significa che anche altri team di sicurezza hanno una buona visione della piattaforma tecnica di Black Basta e possono riconoscere più facilmente gli attacchi e prendere precauzioni.
Rosso./sel
Altro su Quadrantsec.com