Black Basta: Ransomware-as-a-Service a doppia estorsione
Lo scorso aprile si è registrato per la prima volta Black Basta, un nuovo Ransomware-as-a-Service (RaaS) il cui sviluppo è probabilmente iniziato a febbraio. Nei loro attacchi, l’hacker o gli hackers di Black Basta sfruttano il metodo della doppia estorsione: richiedono un riscatto per sbloccare i files crittografati sui sistemi delle vittime, e allo stesso tempo le minacciano di pubblicare informazioni sensibili all’interno del proprio sito di leaks sul dark web, Basta News, in caso le organizzazioni decidessero di non pagare.
Analizza la situazione Unit 42 di Palo Alto Networks, trattando diversi casi che recentemente hanno avuto Black Basta come protagonista.
Il funzionamento di Black Basta
Questo ransomware, scritto in C++, interessa i sistemi operativi Windows e Linux. Unit 42 ha notato che il gruppo, al pari di altri, utilizza il banking trojan Qbot come accesso iniziale e per muoversi poi tra le reti compromesse. Il malware cripta i dati delle vittime grazie a una combinazione di ChaCha20 e RSA-4069 in blocchi di 64 bytes e lasciando tra questi 128 bytes non crittati per velocizzare il processo: una maggiore rapidità implica un maggior numero di sistemi che possono essere potenzialmente compromessi prima che i meccanismi di difesa entrino in azione. Inoltre, il ransomware usa tecniche anti-analisi e cerca di eliminare i backups dei files.
Il gruppo Black Basta e i suoi obiettivi
Palo Alto evidenzia come gli affiliati di Black Basta siano stati molto attivi nella distribuzione e nelle attività di estorsione sin dalla comparsa del ransomware. Sebbene questi hackers stiano operando solo da qualche mese, in base alle informazioni pubblicate sul loro sito di leaks le organizzazioni compromesse superano già le 75; nelle prime due settimane di attività, almeno 20 sono state inserite nel sito di leaks, “il che indica che il gruppo ha probabilmente esperienza nel ransomware business e possiede una fonte stabile di accessi iniziali” sottolineano da Palo Alto.
“È possibile che non sia una nuova operazione, bensì un rebrand di un gruppo ransomware precedente” continuano. “In base alle molte somiglianze nelle tattiche, tecniche e procedure (TTPs) – blogs di victim-shaming, recovery portals, tattiche di negoziazione e la velocità in cui Black Basta ha accumulato le sue vittime –, il gruppo Black Basta potrebbe includere membri o ex-membri del gruppo Conti”.
Secondo quanto riferito, il gruppo ha compromesso diverse grandi organizzazioni in settori quali prodotti di consumo e industriali, energia, risorse, agricoltura, industria manifatturiera, utility, trasporti, agenzie governative, servizi professionali e di consulenza e settore immobiliare, negli Stati Uniti, Germania, Svizzera, Italia, Francia e Paesi Bassi. Inoltre, gli hackers hanno espresso interesse nell’attaccare organizzazioni in Australia, Canada, Nuova Zelanda, Regno Unito e Stati Uniti.
Nell’immagine: il processo di attacco di Black Basta secondo i dati di Unit 42 sui casi di risposta agli incidenti. Immagine di Palo Alto Networks