Black Basta
I metodi operativi Black Bastahanno messo in luce la loro capacità di adattamento e la loro propensione a sfruttare sia le vulnerabilità tecniche che i fattori umani per raggiungere i propri obiettivi. Comprendere queste tattiche può aiutare le organizzazioni a rafforzare le proprie difese contro minacce così sofisticate.
L'origine di Black Basta
Black Basta era un gruppo di ransomware a scopo di lucro attivo dall'inizio del 2022 fino al gennaio 2025, noto per operazioni di doppia estorsione ad alto impatto rivolte a organizzazioni in Nord America, Europa e Asia. Il gruppo comprometteva le reti aziendali per distribuire payload di ransomware, sottrarre dati sensibili e costringere le vittime a pagare riscatti multimilionari sotto la minaccia di divulgare pubblicamente le informazioni rubate.
Black Basta viene Black Basta citato:
- Accesso iniziale tramite credenziali rubate, malspam o esposizione del desktop remoto
- Cobalt Strike, Brute Ratel e loader personalizzati per il movimento laterale
- Strumenti come Mimikatz, RClone e PSExec per l'estrazione delle credenziali e l'esfiltrazione dei dati
- Pubblicazione dei dati sottratti sul proprio sito dedicato alle fughe di notizie a scopo di estorsione
Il gruppo ha dimostrato di disporre di sistemi avanzati di gestione delle infrastrutture, tra cui livelli proxy SOCKS, phishing e strumenti modulari. Ha mantenuto comunicazioni interne in lingua russa e si coordina tramite canali Matrix, collaborando spesso con affiliati o intermediari.
Black Basta stato collegato ad attacchi contro infrastrutture critiche e ai settori sanitario, legale e manifatturiero. È considerata una delle operazioni di ransomware più attive e strutturate del 2024.
Paesi presi di mira da Blackbasta
Le attività Black Basta hanno interessato diverse regioni, con episodi di rilievo segnalati negli Stati Uniti, in Germania, nel Regno Unito, in Canada e in Australia. Queste regioni sono spesso prese di mira a causa delle loro industrie di alto valore e delle loro infrastrutture critiche.
Settori presi di mira da Blackbasta
Black Basta preso di mira un'ampia gamma di settori, in particolare quello sanitario e della sanità pubblica (HPH) per la sua natura critica e la sua dipendenza dalla tecnologia. Altri settori colpiti includono quello finanziario, manifatturiero e dell'informatica.
Le vittime di Blackbasta
Black Basta aprile 2022 e gennaio 2025, più di 521 vittime sono state prese di mira dal gruppo Black Basta .
Il metodo di attacco di Blackbasta
Black Basta ricorrono solitamente a e-mail di spearphishing e sfruttano vulnerabilità note, come la CVE-2024-1709. È noto inoltre che abusino di credenziali valide per ottenere l'accesso iniziale.
Sono stati utilizzati strumenti come Mimikatz per il furto delle credenziali, mentre vulnerabilità quali ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278, CVE-2021-42287) e PrintNightmare (CVE-2021-34527) sono state sfruttate per ottenere privilegi elevati.
Il gruppo ha adottato tattiche di occultamento utilizzando nomi di file innocui, come Intel o Dell. Ha inoltre impiegato strumenti come Backstab per disattivare i sistemi endpoint e risposta endpoint (EDR) e ha utilizzato PowerShell per disattivare i prodotti antivirus.
Black Basta hanno utilizzato strumenti di scraping delle credenziali come Mimikatz e hanno sfruttato vulnerabilità note per ottenere l'accesso amministrativo ed elevare i privilegi all'interno della rete.
Sono stati utilizzati strumenti di scansione della rete, come SoftPerfect Network Scanner, per mappare la rete e identificare i sistemi chiave e gli archivi di dati.
Il gruppo ha utilizzato strumenti quali BITSAdmin, PsExec, Remote Desktop Protocol (RDP), Splashtop, ScreenConnect e Cobalt Strike muoversi lateralmente all'interno delle reti.
Prima della crittografia, i dati venivano raccolti e preparati per l'esfiltrazione. Ciò comportava la compressione dei file o la preparazione dei dati in vista del trasferimento.
Sono stati utilizzati strumenti come RClone per trasferire i dati verso server controllati dagli autori dell'attacco.
Il ransomware ha crittografato i file utilizzando l'algoritmo ChaCha20 con una chiave pubblica RSA-4096, aggiungendo ai nomi dei file l'estensione .basta o un'estensione casuale. Le richieste di riscatto lasciate sui sistemi compromessi invitavano le vittime a contattare il gruppo tramite un sito Tor.
Black Basta ricorrono solitamente a e-mail di spearphishing e sfruttano vulnerabilità note, come la CVE-2024-1709. È noto inoltre che abusino di credenziali valide per ottenere l'accesso iniziale.
Sono stati utilizzati strumenti come Mimikatz per il furto delle credenziali, mentre vulnerabilità quali ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278, CVE-2021-42287) e PrintNightmare (CVE-2021-34527) sono state sfruttate per ottenere privilegi elevati.
Il gruppo ha adottato tattiche di occultamento utilizzando nomi di file innocui, come Intel o Dell. Ha inoltre impiegato strumenti come Backstab per disattivare i sistemi endpoint e risposta endpoint (EDR) e ha utilizzato PowerShell per disattivare i prodotti antivirus.
Black Basta hanno utilizzato strumenti di scraping delle credenziali come Mimikatz e hanno sfruttato vulnerabilità note per ottenere l'accesso amministrativo ed elevare i privilegi all'interno della rete.
Sono stati utilizzati strumenti di scansione della rete, come SoftPerfect Network Scanner, per mappare la rete e identificare i sistemi chiave e gli archivi di dati.
Il gruppo ha utilizzato strumenti quali BITSAdmin, PsExec, Remote Desktop Protocol (RDP), Splashtop, ScreenConnect e Cobalt Strike muoversi lateralmente all'interno delle reti.
Prima della crittografia, i dati venivano raccolti e preparati per l'esfiltrazione. Ciò comportava la compressione dei file o la preparazione dei dati in vista del trasferimento.
Sono stati utilizzati strumenti come RClone per trasferire i dati verso server controllati dagli autori dell'attacco.
Il ransomware ha crittografato i file utilizzando l'algoritmo ChaCha20 con una chiave pubblica RSA-4096, aggiungendo ai nomi dei file l'estensione .basta o un'estensione casuale. Le richieste di riscatto lasciate sui sistemi compromessi invitavano le vittime a contattare il gruppo tramite un sito Tor.
TTP utilizzati da Black Basta
Come individuare gli autori delle minacce con Vectra AI
Elenco dei rilevamenti disponibili nella Vectra AI che potrebbero indicare un attacco ransomware.
Domande frequenti
Cos'è il ransomware Blackbasta?
Blackbasta è un sofisticato gruppo di ransomware emerso nell'aprile 2022. Il gruppo ricorre a tattiche di doppia estorsione, crittografando i dati delle vittime e minacciando di divulgare informazioni sensibili qualora il riscatto non venga pagato.
In che modo Blackbasta ottiene solitamente l'accesso iniziale a una rete?
Blackbasta ottiene spesso l'accesso iniziale tramite phishing contenenti allegati o link dannosi, sfruttando le vulnerabilità delle applicazioni accessibili al pubblico e ricorrendo a pubblicità dannose o download automatici.
Quali sono i settori più spesso presi di mira da Blackbasta?
Blackbasta si rivolge a un'ampia gamma di settori, tra cui quello sanitario, manifatturiero, finanziario, legale, dell'istruzione, pubblico e dell'informatica.
Quali sono i paesi più colpiti dagli attacchi di Blackbasta?
Blackbasta prende di mira principalmente organizzazioni negli Stati Uniti, in Canada, nel Regno Unito, in Germania, in Francia e in Australia, sebbene abbia una portata globale.
Quali sono alcune delle tattiche, tecniche e procedure (TTP) note utilizzate da Blackbasta?
Blackbasta utilizza diverse tecniche, procedure e tattiche (TTP), quali phishing T1566), l'interprete di comandi e script (T1059), il dumping delle credenziali (T1003), la disattivazione degli strumenti di sicurezza (T1562) e la crittografia dei dati a scopo di impatto (T1486).
In che modo Blackbasta ottiene privilegi elevati all'interno di una rete compromessa?
Blackbasta ottiene privilegi più elevati sfruttando le vulnerabilità dei software non aggiornati e utilizzando strumenti come Mimikatz per estrarre le credenziali dalla memoria.
Quali metodi utilizza Blackbasta per eludere il rilevamento?
Blackbasta ricorre a tecniche di offuscamento, disattiva gli strumenti di sicurezza, adotta tattiche "living off the land" (LotL) e utilizza software e strumenti legittimi per eludere il rilevamento.
In che modo Blackbasta si muove lateralmente all'interno di una rete?
Blackbasta utilizza il protocollo RDP (Remote Desktop Protocol), WMI (Windows Management Instrumentation) e i servizi remoti per muoversi lateralmente all'interno di una rete.
Quali sono le fasi tipiche di un attacco del ransomware Blackbasta?
Le fasi comprendono l'accesso iniziale, l'escalation dei privilegi, l'elusione dei sistemi di difesa, l'accesso alle credenziali, l'individuazione, il movimento laterale, la raccolta, l'esecuzione, l'esfiltrazione e l'impatto.
Quali misure preventive possono adottare le organizzazioni per proteggersi dal ransomware Blackbasta?
Le organizzazioni possono proteggersi da Blackbasta implementando un solido sistema di filtraggio delle e-mail, correggendo tempestivamente le vulnerabilità, utilizzando l'autenticazione a più fattori, organizzando regolarmente corsi di formazione sulla sicurezza per i dipendenti, monitorando le attività insolite, mantenendo backup aggiornati e implementando sistemi di rilevamento e risposta estesi (XDR) per identificare e rispondere rapidamente alle minacce.