Per garantire l'adozione dell'IA occorre innanzitutto garantire la visibilità
Leggi il blog
Vectra AIè stata inserita tra i leader nel Magic Quadrant di Gartner per il Network Detection and Response (NDR) del 2025
Riga superiore con icona dell'hamburger
Icona dell'hamburger sulla riga centrale
Icona dell'hamburger in basso a destra
Gruppo di ransomware

Bashe

  1. Stato:
    Inattivo
  1. Stato:
    Inattivo

Bashe, un gruppo di ransomware precedentemente noto come APT73 o Eraleig, è emerso nel 2024 con tattiche simili a quelle di LockBit, prendendo di mira settori critici nei paesi sviluppati e ricorrendo all'estorsione di dati tramite un sito di divulgazione di dati (DLS) basato su Tor.

Individuare le TTP di Bashe
La tua organizzazione è al sicuro dagli attacchi di Bashe?
Contesto e obiettivi
TTP
Mappatura MITRE
Rilevamento
Domande frequenti
Guarda il briefing sulle minacce
CONTESTO
PAESI
SETTORI
VITTIME

L'origine di Bashe

Bashe, precedentemente noto come APT73 ed Eraleig Ransomware, è emerso a metà aprile 2024, identificandosi inizialmente come una "minaccia persistente avanzata" (APT). Questa autodefinizione, solitamente riservata ad attori informatici altamente sofisticati e dotati di ingenti risorse, sembra rientrare nella strategia di Bashe volta a proporsi come una minaccia credibile. Si ritiene che Bashe sia uno spin-off del gruppo ransomware LockBit, sulla base delle somiglianze tra i loro siti di fuga di dati (DLS). La struttura DLS di Bashe include le sezioni "Contattaci", "Come acquistare Bitcoin", "Bug Bounty per la sicurezza web" e "Mirror", identiche a quelle presenti nella configurazione di LockBit.

Bashe opera attraverso la rete Tor con un'infrastruttura ospitata nella Repubblica Ceca. Per l'hosting si avvale dell'ASN AS9009, una rete precedentemente utilizzata da diversi gruppi malintenzionati e malware, tra cui DarkAngels, Vice Society, TrickBot, Meduza Stealer e Rimasuta. Questa scelta infrastrutturale suggerisce che Bashe potrebbe avvalersi di sistemi già noti per eludere il rilevamento.

Paesi presi di mira da Bashe

Secondo quanto riferito, le attività del gruppo avrebbero colpito organizzazioni in tutto il Nord America, nel Regno Unito, in Francia, Germania, India e Australia. L'attenzione di Bashe verso i paesi sviluppati, che dispongono di preziose risorse di dati, evidenzia il suo approccio globale volto a massimizzare il potenziale di vittimizzazione.

Fonte dell'immagine: ransomware.live

Settori di riferimento di Bashe

Bashe sembra privilegiare settori di alto valore, tra cui quello tecnologico, dei servizi alle imprese, manifatturiero, dei servizi al consumo e dei servizi finanziari. Il gruppo punta inoltre ai settori dei trasporti, della logistica, della sanità e dell'edilizia. Concentrarsi su questi settori consente a Bashe di massimizzare la propria influenza nelle richieste di riscatto, prendendo di mira settori che gestiscono dati sensibili o essenziali.

Financial Services and Banking

Technology

Manufacturing

Le vittime di Bashe

Finora Bashe ha colpito circa 79 vittime.

Metodo di attacco

Il metodo di attacco di Bashe

Accesso iniziale
Escalation dei privilegi
Resistenza ed elusione delle difese
Accesso alle credenziali
Scoperta
Movimento laterale
Collezione
Esecuzione
Esfiltrazione
Impatto
Una figura oscura che getta un'ampia rete su un panorama digitale popolato da vari dispositivi, quali computer, smartphone e tablet. La rete simboleggia i tentativi dell'aggressore di individuare vulnerabilità o di ricorrere a phishing per ottenere un accesso non autorizzato.
Una scala digitale che sale dall'icona di un utente standard verso una corona, simbolo dei privilegi amministrativi. Ciò rappresenta gli sforzi compiuti dall'autore dell'attacco per ottenere un livello di accesso più elevato all'interno del sistema.
Un camaleonte che si mimetizza su uno sfondo digitale, circondato da una serie di zero e uno. Ciò rappresenta la capacità dell'autore dell'attacco di eludere i sistemi di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.
Un ladro munito di un kit di grimaldelli che sta maneggiando una gigantesca serratura a forma di modulo di accesso, a simboleggiare i tentativi dell'aggressore di sottrarre le credenziali degli utenti per ottenere un accesso non autorizzato.
Una lente d'ingrandimento che si sposta su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per comprenderne la struttura e individuare dove si trovano i dati sensibili.
Una serie di nodi interconnessi tra cui si muove furtivamente una figura indistinta. Ciò illustra i movimenti dell'autore dell'attacco all'interno della rete, inteso a ottenere il controllo di ulteriori sistemi o a diffondere malware.
Un grande aspirapolvere che risucchia file, icone di dati e cartelle in un sacco tenuto in mano da una figura indistinta. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.
Una finestra del prompt dei comandi aperta su uno sfondo digitale, con del codice dannoso che viene digitato. Questa immagine rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.
Una serie di file viene trasferita tramite un canale segreto da un computer a un cloud da un teschio, a simboleggiare il trasferimento non autorizzato di dati verso una destinazione controllata dall'autore dell'attacco.
Uno schermo incrinato con alle spalle un panorama urbano digitale in preda al caos, che simboleggia l'impatto distruttivo di un attacco informatico, come l'interruzione dei servizi, la distruzione dei dati o le perdite finanziarie.
Una figura oscura che getta un'ampia rete su un panorama digitale popolato da vari dispositivi, quali computer, smartphone e tablet. La rete simboleggia i tentativi dell'aggressore di individuare vulnerabilità o di ricorrere a phishing per ottenere un accesso non autorizzato.
Accesso iniziale
Una scala digitale che sale dall'icona di un utente standard verso una corona, simbolo dei privilegi amministrativi. Ciò rappresenta gli sforzi compiuti dall'autore dell'attacco per ottenere un livello di accesso più elevato all'interno del sistema.
Escalation dei privilegi
Un camaleonte che si mimetizza su uno sfondo digitale, circondato da una serie di zero e uno. Ciò rappresenta la capacità dell'autore dell'attacco di eludere i sistemi di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.
Evasione difensiva
Un ladro munito di un kit di grimaldelli che sta maneggiando una gigantesca serratura a forma di modulo di accesso, a simboleggiare i tentativi dell'aggressore di sottrarre le credenziali degli utenti per ottenere un accesso non autorizzato.
Accesso alle credenziali
Una lente d'ingrandimento che si sposta su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per comprenderne la struttura e individuare dove si trovano i dati sensibili.
Scoperta
Una serie di nodi interconnessi tra cui si muove furtivamente una figura indistinta. Ciò illustra i movimenti dell'autore dell'attacco all'interno della rete, inteso a ottenere il controllo di ulteriori sistemi o a diffondere malware.
Movimento laterale
Un grande aspirapolvere che risucchia file, icone di dati e cartelle in un sacco tenuto in mano da una figura indistinta. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.
Collezione
Una finestra del prompt dei comandi aperta su uno sfondo digitale, con del codice dannoso che viene digitato. Questa immagine rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.
Esecuzione
Una serie di file viene trasferita tramite un canale segreto da un computer a un cloud da un teschio, a simboleggiare il trasferimento non autorizzato di dati verso una destinazione controllata dall'autore dell'attacco.
Esfiltrazione
Uno schermo incrinato con alle spalle un panorama urbano digitale in preda al caos, che simboleggia l'impatto distruttivo di un attacco informatico, come l'interruzione dei servizi, la distruzione dei dati o le perdite finanziarie.
Impatto
MITRE ATT&CK

TTP utilizzati da Bashe

TA0001: Initial Access
No items found.
TA0002: Execution
No items found.
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
No items found.
TA0005: Defense Evasion
No items found.
TA0006: Credential Access
No items found.
TA0007: Discovery
No items found.
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
No items found.
TA0040: Impact
No items found.
Rilevamenti della piattaforma

Come individuare gli attacchi ransomware con Vectra AI

Sebbene le tattiche, le tecniche e le procedure (TTP) di Bashe siano ancora oggetto di studio, possiamo valutare le probabili attività sulla base delle somiglianze con LockBit. Di seguito è riportata una sintesi dei Vectra AI che verrebbero attivati in caso di un tipico attacco ransomware:

AWS Ransomware S3 Activity

M365 Ransomware

Ransomware File Activity

Visualizza altri rilevamenti
Valuta la tua vulnerabilità agli attacchi

La tua organizzazione è al sicuro dagli attacchi di Bashe?

Valuta la tua vulnerabilità agli attacchi

Domande frequenti