Black Basta
Black Basta’s operational methods highlighted their adaptability and willingness to exploit both technical vulnerabilities and human factors to achieve their goals. Understanding these tactics can help organizations bolster their defenses against such sophisticated threats.
L'origine di Black Basta
Black Basta was a financially motivated ransomware group active from early 2022 until January 2025, known for high-impact double extortion operations targeting organizations across North America, Europe, and Asia. The group compromised corporate networks to deploy ransomware payloads, exfiltrated sensitive data, and pressured victims into paying multimillion-dollar ransoms under threat of public leaks.
Black Basta often leveraged:
- Accesso iniziale tramite credenziali rubate, malspam o esposizione a desktop remoti.
- Cobalt Strike, Brute Ratel e caricatori personalizzati per il movimento laterale.
- Strumenti come Mimikatz, RClone e PSExec per il dumping delle credenziali e l'esfiltrazione dei dati.
- Pubblicazione di dati esfiltrati sul loro sito di leak per estorsione
The group has exhibited ties to advanced infrastructure management, including SOCKS proxy layers, phishing infrastructure, and modular tooling. It maintained Russian-language internal communications and coordinates through Matrix channels, often collaborating with affiliates or brokers.
Black Basta è stato collegato ad attacchi a infrastrutture critiche, sanità, settore legale e manifatturiero. È considerata una delle operazioni ransomware più attive e strutturate del 2024.
Paesi presi di mira da Blackbasta
Black Basta's operations spun multiple regions, with significant incidents reported in the United States, Germany, the United Kingdom, Canada, and Australia. These regions are often targeted due to their high-value industries and critical infrastructure.
Industrie interessate da Blackbasta
Black Basta ha preso di mira un'ampia gamma di industrie, in particolare il settore della sanità e della salute pubblica (HPH) a causa della sua natura critica e della sua dipendenza dalla tecnologia. Altri settori colpiti sono quello finanziario, manifatturiero e informatico.
Le vittime di Blackbasta
More than 521 victims were targeted by Black Basta between April 2022 and January 2025.
Metodo di attacco di Blackbasta
Black Basta affiliates typically used spearphishing emails and exploit known vulnerabilities such as CVE-2024-1709. They have also been known to abuse valid credentials to gain initial access.
Tools like Mimikatz were used for credential scraping, while vulnerabilities such as ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278, CVE-2021-42287), and PrintNightmare (CVE-2021-34527) were exploited to escalate privileges.
The group employed masquerading tactics by using innocuous file names, such as Intel or Dell. They also deployed tools like Backstab to disable endpoint detection and response (EDR) systems, and use PowerShell to disable antivirus products.
Black Basta affiliates used credential scraping tools like Mimikatz and exploited known vulnerabilities to gain administrative access and escalate privileges within the network.
Network scanning tools such as SoftPerfect Network Scanner were used to map out the network and identify key systems and data stores.
The group used tools like BITSAdmin, PsExec, Remote Desktop Protocol (RDP), Splashtop, ScreenConnect, and Cobalt Strike to move laterally across networks.
Before encryption, data was collected and prepared for exfiltration. This involved compressing files or staging data in preparation for transfer.
Tools such as RClone were used to exfiltrate data to actor-controlled servers.
The ransomware encrypted files using a ChaCha20 algorithm with an RSA-4096 public key, adding a .basta or random extension to file names. Ransom notes left on compromised systems instructed victims to contact the group via a Tor site.
Black Basta affiliates typically used spearphishing emails and exploit known vulnerabilities such as CVE-2024-1709. They have also been known to abuse valid credentials to gain initial access.
Tools like Mimikatz were used for credential scraping, while vulnerabilities such as ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278, CVE-2021-42287), and PrintNightmare (CVE-2021-34527) were exploited to escalate privileges.
The group employed masquerading tactics by using innocuous file names, such as Intel or Dell. They also deployed tools like Backstab to disable endpoint detection and response (EDR) systems, and use PowerShell to disable antivirus products.
Black Basta affiliates used credential scraping tools like Mimikatz and exploited known vulnerabilities to gain administrative access and escalate privileges within the network.
Network scanning tools such as SoftPerfect Network Scanner were used to map out the network and identify key systems and data stores.
The group used tools like BITSAdmin, PsExec, Remote Desktop Protocol (RDP), Splashtop, ScreenConnect, and Cobalt Strike to move laterally across networks.
Before encryption, data was collected and prepared for exfiltration. This involved compressing files or staging data in preparation for transfer.
Tools such as RClone were used to exfiltrate data to actor-controlled servers.
The ransomware encrypted files using a ChaCha20 algorithm with an RSA-4096 public key, adding a .basta or random extension to file names. Ransom notes left on compromised systems instructed victims to contact the group via a Tor site.
I TTP utilizzati da Black Basta
How to Detect Threat Actors with Vectra AI
Elenco dei rilevamenti disponibili nella piattaforma Vectra AI che indicano un attacco ransomware.
DOMANDE FREQUENTI
Che cos'è Blackbasta Ransomware?
Blackbasta è un sofisticato gruppo di ransomware emerso nell'aprile del 2022. Utilizza una doppia tattica di estorsione, criptando i dati delle vittime e minacciando di rilasciare le informazioni sensibili se non viene pagato il riscatto.
Come fa Blackbasta a ottenere l'accesso iniziale a una rete?
Blackbasta spesso ottiene l'accesso iniziale attraverso le e-mail di phishing contenenti allegati o link dannosi, sfruttando le vulnerabilità delle applicazioni rivolte al pubblico e utilizzando pubblicità dannose o download drive-by.
Quali sono i settori più frequentemente presi di mira da Blackbasta?
Blackbasta si rivolge a un'ampia gamma di settori, tra cui quello sanitario, manifatturiero, finanziario, legale, educativo, governativo e informatico.
Quali sono i Paesi più colpiti dagli attacchi Blackbasta?
Blackbasta si rivolge principalmente alle organizzazioni di Stati Uniti, Canada, Regno Unito, Germania, Francia e Australia, pur avendo una portata globale.
Quali sono alcune delle tattiche, tecniche e procedure (TTP) conosciute utilizzate dai Blackbasta?
Blackbasta impiega vari TTP come phishing (T1566), interprete di comandi e scripting (T1059), dumping delle credenziali (T1003), disabilitazione degli strumenti di sicurezza (T1562) e dati crittografati per l'impatto (T1486).
Come fa Blackbasta ad aumentare i privilegi all'interno di una rete compromessa?
Blackbasta aumenta i privilegi sfruttando vulnerabilità del software non patchate e utilizzando strumenti come Mimikatz per estrarre le credenziali dalla memoria.
Quali metodi utilizza Blackbasta per eludere il rilevamento?
Blackbasta utilizza tecniche di offuscamento, disabilita gli strumenti di sicurezza, impiega tattiche di "living off the land" (LotL) e utilizza software e strumenti legittimi per eludere il rilevamento.
Come si muove Blackbasta lateralmente all'interno di una rete?
Blackbasta utilizza Remote Desktop Protocol (RDP), Windows Management Instrumentation (WMI) e servizi remoti per spostarsi lateralmente all'interno di una rete.
Quali sono le fasi tipiche di un attacco ransomware Blackbasta?
Le fasi comprendono l'accesso iniziale, l'escalation dei privilegi, l'evasione della difesa, l'accesso alle credenziali, la scoperta, il movimento laterale, la raccolta, l'esecuzione, l'esfiltrazione e l'impatto.
Quali misure preventive possono adottare le organizzazioni per proteggersi dal ransomware Blackbasta?
Le organizzazioni possono proteggersi da Blackbasta implementando un robusto filtro delle e-mail, patchando tempestivamente le vulnerabilità, utilizzando l'autenticazione a più fattori, effettuando una regolare formazione sulla sicurezza per i dipendenti, monitorando le attività insolite, mantenendo backup aggiornati e implementando sistemi di Extended Detection and Response (XDR) per identificare e rispondere rapidamente alle minacce.