Automatizza il contenimento degli attacchi ibridi con 360 Response

Automatizza il contenimento degli attacchi ibridi con 360 Response >

Vectra AI, una delle aziende leader nel Magic Quadrant 2025 di Gartner per il rilevamento e la risposta di rete (NDR)
Icona hamburger nella riga superiore
Icona hamburger linea centrale
Icona hamburger in basso
Gruppo ransomware

Bashe

  1. Stato:
    Inattivo
  1. Stato:
    Inattivo

Bashe, un gruppo ransomware precedentemente noto come APT73 o Eraleig, è emerso nel 2024 con tattiche simili a quelle di LockBit, prendendo di mira settori critici nei paesi sviluppati e sfruttando l'estorsione di dati attraverso un sito di fuga di dati (DLS) basato su Tor.

Rileva le TTP di Bashe
La tua organizzazione è al sicuro dagli attacchi di Bashe?
Contesto e obiettivi
TTP
Mappatura MITRE
Rilevamento
Domande frequenti
Guarda il briefing sulle minacce
CONTESTO
PAESI
SETTORI
VITTIME

L'origine di Bashe

Bashe, precedentemente noto come APT73 ed Eraleig Ransomware, è emerso a metà aprile 2024, identificandosi inizialmente come una "minaccia persistente avanzata" (APT). Questa autodefinizione, comunemente riservata ad attori informatici altamente sofisticati e dotati di risorse considerevoli, sembra far parte della strategia di Bashe per promuoversi come una minaccia credibile. Si ritiene che Bashe sia nato dal gruppo ransomware LockBit, sulla base delle somiglianze tra i loro siti di fuga di dati (DLS). La struttura DLS di Bashe include le sezioni "Contattaci", "Come acquistare Bitcoin", "Bug bounty per la sicurezza web" e "Mirror", identiche a quelle presenti nella configurazione di LockBit.

Bashe opera attraverso la rete Tor con un'infrastruttura ospitata nella Repubblica Ceca. Si affida ad AS9009 ASN per l'hosting, una rete precedentemente utilizzata da diversi gruppi malintenzionati e malware, tra cui DarkAngels, Vice Society, TrickBot, Meduza Stealer e Rimasuta. Questa scelta di infrastruttura suggerisce che Bashe potrebbe sfruttare sistemi familiari per eludere il rilevamento.

Paesi presi di mira da Bashe

Secondo quanto riferito, le attività del gruppo hanno avuto ripercussioni su organizzazioni in Nord America, Regno Unito, Francia, Germania, India e Australia. L'attenzione di Bashe verso i paesi sviluppati con risorse di dati di valore evidenzia il suo approccio globale volto a massimizzare il potenziale di vittimizzazione.

Fonte immagine: ransomware.live

Settori target di Bashe

Bashe sembra dare priorità ai settori ad alto valore aggiunto, tra cui tecnologia, servizi alle imprese, produzione, servizi ai consumatori e servizi finanziari. Il gruppo punta anche ai settori dei trasporti, della logistica, della sanità e dell'edilizia. Concentrandosi su questi settori, Bashe è in grado di massimizzare il proprio potere negoziale nelle richieste di riscatto, prendendo di mira settori che trattano dati sensibili o essenziali.

Financial Services and Banking

Technology

Manufacturing

Le vittime di Bashe

Bashe ha violato circa 79 vittime finora.

Metodo di attacco

Il metodo di attacco di Bashe

Accesso iniziale
Elevazione dei privilegi
Persistenza ed elusione delle difese
Accesso alle credenziali
Scoperta
Movimento laterale
Collezione
Esecuzione
Esfiltrazione
Impatto
Una figura oscura che getta una vasta rete su un panorama digitale pieno di vari dispositivi come computer, smartphone e tablet. La rete simboleggia i tentativi dell'aggressore di trovare vulnerabilità o utilizzare phishing per ottenere un accesso non autorizzato.
Una scala digitale che si estende verso l'alto da un'icona utente di base verso una corona che simboleggia i privilegi amministrativi. Questo rappresenta gli sforzi dell'aggressore per ottenere un accesso di livello superiore all'interno del sistema.
Un camaleonte che si mimetizza in uno sfondo digitale, circondato da flussi di zero e uno. Questo rappresenta la capacità dell'aggressore di eludere il rilevamento da parte delle misure di sicurezza, modificando le proprie tattiche per mimetizzarsi nel normale traffico di rete.
Un ladro con un kit di grimaldelli che lavora su una gigantesca serratura a forma di modulo di accesso, che rappresenta gli sforzi dell'aggressore per rubare le credenziali degli utenti e ottenere un accesso non autorizzato.
Una lente di ingrandimento che si sposta su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per comprenderne la struttura e individuare dove risiedono i dati di valore.
Una serie di nodi interconnessi con una figura oscura che si muove furtivamente tra di essi. Questo illustra i movimenti dell'aggressore all'interno della rete, che cerca di ottenere il controllo di altri sistemi o di diffondere malware.
Un grande aspirapolvere che risucchia file, icone di dati e cartelle in un sacco tenuto da una figura oscura. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.
Una finestra del prompt dei comandi aperta su uno sfondo digitale, con codice dannoso in fase di digitazione. Questo rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.
Una serie di file che vengono convogliati attraverso un canale segreto da un computer a un cloud da un teschio, che simboleggia il trasferimento non autorizzato di dati verso una posizione controllata dall'autore dell'attacco.
Uno schermo incrinato con uno sfondo digitale raffigurante una città nel caos, che simboleggia l'impatto distruttivo dell'attacco informatico, come l'interruzione dei servizi, la distruzione dei dati o la perdita finanziaria.
Una figura oscura che getta una vasta rete su un panorama digitale pieno di vari dispositivi come computer, smartphone e tablet. La rete simboleggia i tentativi dell'aggressore di trovare vulnerabilità o utilizzare phishing per ottenere un accesso non autorizzato.
Accesso iniziale
Una scala digitale che si estende verso l'alto da un'icona utente di base verso una corona che simboleggia i privilegi amministrativi. Questo rappresenta gli sforzi dell'aggressore per ottenere un accesso di livello superiore all'interno del sistema.
Elevazione dei privilegi
Un camaleonte che si mimetizza in uno sfondo digitale, circondato da flussi di zero e uno. Questo rappresenta la capacità dell'aggressore di eludere il rilevamento da parte delle misure di sicurezza, modificando le proprie tattiche per mimetizzarsi nel normale traffico di rete.
Evasione della difesa
Un ladro con un kit di grimaldelli che lavora su una gigantesca serratura a forma di modulo di accesso, che rappresenta gli sforzi dell'aggressore per rubare le credenziali degli utenti e ottenere un accesso non autorizzato.
Accesso alle credenziali
Una lente di ingrandimento che si sposta su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per comprenderne la struttura e individuare dove risiedono i dati di valore.
Scoperta
Una serie di nodi interconnessi con una figura oscura che si muove furtivamente tra di essi. Questo illustra i movimenti dell'aggressore all'interno della rete, che cerca di ottenere il controllo di altri sistemi o di diffondere malware.
Movimento laterale
Un grande aspirapolvere che risucchia file, icone di dati e cartelle in un sacco tenuto da una figura oscura. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.
Collezione
Una finestra del prompt dei comandi aperta su uno sfondo digitale, con codice dannoso in fase di digitazione. Questo rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.
Esecuzione
Una serie di file che vengono convogliati attraverso un canale segreto da un computer a un cloud da un teschio, che simboleggia il trasferimento non autorizzato di dati verso una posizione controllata dall'autore dell'attacco.
Esfiltrazione
Uno schermo incrinato con uno sfondo digitale raffigurante una città nel caos, che simboleggia l'impatto distruttivo dell'attacco informatico, come l'interruzione dei servizi, la distruzione dei dati o la perdita finanziaria.
Impatto
MITRE ATT&CK

TTP utilizzati da Bashe

TA0001: Initial Access
No items found.
TA0002: Execution
No items found.
TA0003: Persistence
No items found.
TA0004: Privilege Escalation
No items found.
TA0005: Defense Evasion
No items found.
TA0006: Credential Access
No items found.
TA0007: Discovery
No items found.
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
No items found.
TA0010: Exfiltration
No items found.
TA0040: Impact
No items found.
Rilevamenti della piattaforma

Come rilevare gli attacchi ransomware con Vectra AI

Sebbene le tattiche, tecniche e procedure (TTP) di Bashe siano ancora oggetto di ricerca, possiamo valutare le attività probabili sulla base delle somiglianze con LockBit. Di seguito è riportata una panoramica dei Vectra AI che verranno attivati in caso di un tipico attacco ransomware:

AWS Ransomware S3 Activity

M365 Ransomware

Ransomware File Activity

Visualizza altri rilevamenti
Valuta la tua esposizione agli attacchi

La tua organizzazione è al sicuro dagli attacchi di Bashe?

Valuta la tua esposizione agli attacchi

Domande frequenti