Black Basta
I metodi operativi Black Bastahanno messo in luce la loro adattabilità e la loro disponibilità a sfruttare sia le vulnerabilità tecniche che i fattori umani per raggiungere i propri obiettivi. Comprendere queste tattiche può aiutare le organizzazioni a rafforzare le proprie difese contro minacce così sofisticate.
L'origine di Black Basta
Black Basta era un gruppo di ransomware motivato da ragioni finanziarie, attivo dall'inizio del 2022 fino al gennaio 2025, noto per operazioni di doppia estorsione ad alto impatto che prendevano di mira organizzazioni in Nord America, Europa e Asia. Il gruppo comprometteva le reti aziendali per distribuire payload ransomware, sottraeva dati sensibili e costringeva le vittime a pagare riscatti multimilionari minacciando di renderli pubblici.
Black Basta sfruttato:
- Accesso iniziale tramite credenziali rubate, malspam o esposizione del desktop remoto
- Cobalt Strike, Brute Ratel e caricatori personalizzati per il movimento laterale
- Strumenti come Mimikatz, RClone e PSExec per il dumping delle credenziali e l'esfiltrazione dei dati
- Pubblicazione dei dati sottratti sul loro sito dedicato alle fughe di notizie a scopo di estorsione
Il gruppo ha dimostrato di avere legami con sistemi avanzati di gestione delle infrastrutture, tra cui livelli proxy SOCKS, phishing e strumenti modulari. Ha mantenuto comunicazioni interne in lingua russa e si coordina attraverso canali Matrix, collaborando spesso con affiliati o intermediari.
Black Basta stato collegato ad attacchi contro infrastrutture critiche, strutture sanitarie, studi legali e settori manifatturieri. È considerato uno dei ransomware più attivi e strutturati del 2024.
Paesi presi di mira da Blackbasta
Le operazioni Black Basta hanno interessato diverse regioni, con incidenti significativi segnalati negli Stati Uniti, in Germania, nel Regno Unito, in Canada e in Australia. Queste regioni sono spesso prese di mira a causa delle loro industrie di alto valore e delle infrastrutture critiche.
Settori presi di mira da Blackbasta
Black Basta preso di mira un'ampia gamma di settori, in particolare quello sanitario e della sanità pubblica (HPH) per la sua natura critica e la sua dipendenza dalla tecnologia. Altri settori colpiti includono quello finanziario, manifatturiero e delle tecnologie dell'informazione.
Le vittime di Blackbasta
Più di 521 vittime sono state prese di mira da Black Basta aprile 2022 e gennaio 2025.
Il metodo di attacco di Blackbasta
Black Basta utilizzavano tipicamente e-mail di spearphishing e sfruttavano vulnerabilità note come CVE-2024-1709. Sono stati anche noti per aver abusato di credenziali valide per ottenere l'accesso iniziale.
Strumenti come Mimikatz sono stati utilizzati per il credential scraping, mentre vulnerabilità come ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278, CVE-2021-42287) e PrintNightmare (CVE-2021-34527) sono state sfruttate per aumentare i privilegi.
Il gruppo ha utilizzato tattiche di mascheramento utilizzando nomi di file innocui, come Intel o Dell. Ha inoltre impiegato strumenti come Backstab per disabilitare i sistemi endpoint e risposta endpoint (EDR) e utilizzato PowerShell per disabilitare i prodotti antivirus.
Black Basta hanno utilizzato strumenti di scraping delle credenziali come Mimikatz e hanno sfruttato vulnerabilità note per ottenere l'accesso amministrativo e aumentare i privilegi all'interno della rete.
Sono stati utilizzati strumenti di scansione della rete come SoftPerfect Network Scanner per mappare la rete e identificare i sistemi chiave e gli archivi dati.
Il gruppo ha utilizzato strumenti quali BITSAdmin, PsExec, Remote Desktop Protocol (RDP), Splashtop, ScreenConnect e Cobalt Strike muoversi lateralmente attraverso le reti.
Prima della crittografia, i dati venivano raccolti e preparati per l'esfiltrazione. Ciò comportava la compressione dei file o la preparazione dei dati in vista del trasferimento.
Strumenti come RClone sono stati utilizzati per sottrarre dati e trasferirli su server controllati dagli autori dell'attacco.
Il ransomware ha crittografato i file utilizzando un algoritmo ChaCha20 con una chiave pubblica RSA-4096, aggiungendo un'estensione .basta o casuale ai nomi dei file. Le richieste di riscatto lasciate sui sistemi compromessi invitavano le vittime a contattare il gruppo tramite un sito Tor.
Black Basta utilizzavano tipicamente e-mail di spearphishing e sfruttavano vulnerabilità note come CVE-2024-1709. Sono stati anche noti per aver abusato di credenziali valide per ottenere l'accesso iniziale.
Strumenti come Mimikatz sono stati utilizzati per il credential scraping, mentre vulnerabilità come ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278, CVE-2021-42287) e PrintNightmare (CVE-2021-34527) sono state sfruttate per aumentare i privilegi.
Il gruppo ha utilizzato tattiche di mascheramento utilizzando nomi di file innocui, come Intel o Dell. Ha inoltre impiegato strumenti come Backstab per disabilitare i sistemi endpoint e risposta endpoint (EDR) e utilizzato PowerShell per disabilitare i prodotti antivirus.
Black Basta hanno utilizzato strumenti di scraping delle credenziali come Mimikatz e hanno sfruttato vulnerabilità note per ottenere l'accesso amministrativo e aumentare i privilegi all'interno della rete.
Sono stati utilizzati strumenti di scansione della rete come SoftPerfect Network Scanner per mappare la rete e identificare i sistemi chiave e gli archivi dati.
Il gruppo ha utilizzato strumenti quali BITSAdmin, PsExec, Remote Desktop Protocol (RDP), Splashtop, ScreenConnect e Cobalt Strike muoversi lateralmente attraverso le reti.
Prima della crittografia, i dati venivano raccolti e preparati per l'esfiltrazione. Ciò comportava la compressione dei file o la preparazione dei dati in vista del trasferimento.
Strumenti come RClone sono stati utilizzati per sottrarre dati e trasferirli su server controllati dagli autori dell'attacco.
Il ransomware ha crittografato i file utilizzando un algoritmo ChaCha20 con una chiave pubblica RSA-4096, aggiungendo un'estensione .basta o casuale ai nomi dei file. Le richieste di riscatto lasciate sui sistemi compromessi invitavano le vittime a contattare il gruppo tramite un sito Tor.
TTP utilizzati da Black Basta
Come individuare gli autori delle minacce con Vectra AI
Elenco delle rilevazioni disponibili nella Vectra AI che potrebbero indicare un attacco ransomware.
Domande frequenti
Che cos'è Blackbasta Ransomware?
Blackbasta è un sofisticato gruppo di ransomware emerso nell'aprile 2022. Utilizza tattiche di doppia estorsione, crittografando i dati delle vittime e minacciando di divulgare informazioni sensibili se il riscatto non viene pagato.
In che modo Blackbasta ottiene solitamente l'accesso iniziale a una rete?
Blackbasta spesso ottiene l'accesso iniziale tramite phishing contenenti allegati o link dannosi, sfruttando le vulnerabilità delle applicazioni pubbliche e utilizzando pubblicità dannose o download drive-by.
Quali sono i settori più frequentemente presi di mira da Blackbasta?
Blackbasta si rivolge a un'ampia gamma di settori, tra cui sanità, produzione, finanza, legale, istruzione, pubblica amministrazione e tecnologia dell'informazione.
Quali sono i paesi più colpiti dagli attacchi Blackbasta?
Blackbasta si rivolge principalmente alle organizzazioni negli Stati Uniti, in Canada, Regno Unito, Germania, Francia e Australia, sebbene abbia una portata globale.
Quali sono alcune delle tattiche, tecniche e procedure (TTP) note utilizzate da Blackbasta?
Blackbasta utilizza varie tecniche, tattiche e procedure (TTP) quali phishing T1566), interprete di comandi e script (T1059), dumping delle credenziali (T1003), disabilitazione degli strumenti di sicurezza (T1562) e crittografia dei dati a scopo di impatto (T1486).
In che modo Blackbasta aumenta i privilegi all'interno di una rete compromessa?
Blackbasta aumenta i privilegi sfruttando le vulnerabilità dei software non aggiornati e utilizzando strumenti come Mimikatz per estrarre le credenziali dalla memoria.
Quali metodi utilizza Blackbasta per eludere il rilevamento?
Blackbasta utilizza tecniche di offuscamento, disabilita gli strumenti di sicurezza, impiega tattiche LotL (Living Off the Land) e utilizza software e strumenti legittimi per eludere il rilevamento.
Come si muove Blackbasta lateralmente all'interno di una rete?
Blackbasta utilizza il protocollo RDP (Remote Desktop Protocol), WMI (Windows Management Instrumentation) e servizi remoti per spostarsi lateralmente all'interno di una rete.
Quali sono le fasi tipiche di un attacco ransomware Blackbasta?
Le fasi includono accesso iniziale, escalation dei privilegi, elusione delle difese, accesso alle credenziali, scoperta, movimento laterale, raccolta, esecuzione, esfiltrazione e impatto.
Quali misure preventive possono adottare le organizzazioni per proteggersi dal ransomware Blackbasta?
Le organizzazioni possono proteggersi da Blackbasta implementando un filtro e-mail efficace, correggendo tempestivamente le vulnerabilità, utilizzando l'autenticazione a più fattori, conducendo regolarmente corsi di formazione sulla sicurezza per i dipendenti, monitorando le attività insolite, mantenendo backup aggiornati e implementando sistemi di rilevamento e risposta estesi (XDR) per identificare e rispondere rapidamente alle minacce.