La vostra organizzazione è al sicuro dagli attacchi di Black Basta?

L'origine del Black Basta

Black Basta è una variante di ransomware-as-a-service (RaaS) identificata per la prima volta nell'aprile del 2022. Il gruppo opera criptando ed esfiltrare i dati delle vittime ed è stato attivo in Nord America, Europa e Australia. A maggio 2024, gli affiliati di Black Basta hanno colpito oltre 500 organizzazioni a livello globale, tra cui almeno 12 settori di infrastrutture critiche su 16, con un'attenzione significativa al settore sanitario e della sanità pubblica (HPH).

Alcuni ricercatori ipotizzano che Black Basta possa essere collegato ad altri gruppi criminali come FIN7 e Conti, sulla base di somiglianze nelle tattiche, tecniche e procedure (TTP).

^{Fonte: OCD}

Obiettivi

Obiettivi di Blackbasta

Paesi presi di mira da Blackbasta

Le operazioni di Black Basta si estendono a più regioni, con incidenti significativi segnalati negli Stati Uniti, in Germania, nel Regno Unito, in Canada e in Australia. Queste regioni sono spesso prese di mira a causa delle loro industrie di alto valore e delle infrastrutture critiche.

^{Fonte del grafico: Incibe}

Industrie interessate da Blackbasta

Black Basta ha preso di mira un'ampia gamma di industrie, in particolare il settore della sanità e della salute pubblica (HPH) a causa della sua natura critica e della sua dipendenza dalla tecnologia. Altri settori colpiti sono quello finanziario, manifatturiero e informatico.

^{Fonte del grafico: SocRadar}

Industrie interessate da Blackbasta

Black Basta ha preso di mira un'ampia gamma di industrie, in particolare il settore della sanità e della salute pubblica (HPH) a causa della sua natura critica e della sua dipendenza dalla tecnologia. Altri settori colpiti sono quello finanziario, manifatturiero e informatico.

^{Fonte del grafico: SocRadar}

Le vittime di Blackbasta

Sebbene i nomi specifici delle vittime recenti non siano sempre disponibili al pubblico a causa di problemi di privacy e sicurezza, contiamo più di 439 vittime, tra cui importanti aziende e istituzioni nei settori sopra menzionati. Recenti rapporti indicano attacchi a sistemi sanitari, grandi aziende manifatturiere e istituzioni finanziarie.

Fonte: ransomware.live

Metodo di attacco

Metodo di attacco di Blackbasta

Una figura ombrosa che getta un'ampia rete su un paesaggio digitale pieno di vari dispositivi come computer, smartphone e tablet. La rete simboleggia i tentativi dell'attaccante di trovare vulnerabilità o di utilizzare le tecniche di phishing per ottenere un accesso non autorizzato.

Gli affiliati di Black Basta utilizzano tipicamente e-mail di spearphishing e sfruttano vulnerabilità note come CVE-2024-1709. È noto anche che abusano di credenziali valide per ottenere l'accesso iniziale. malware.

Una scala digitale che si estende verso l'alto da un'icona utente di base verso una corona che simboleggia i privilegi amministrativi. Questo rappresenta gli sforzi dell'attaccante per ottenere un accesso di livello superiore all'interno del sistema.

Strumenti come Mimikatz vengono utilizzati per lo scraping delle credenziali, mentre vulnerabilità come ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278, CVE-2021-42287) e PrintNightmare (CVE-2021-34527) vengono sfruttate per aumentare i privilegi.

Un camaleonte che si mimetizza in uno sfondo digitale, con zeri e uno che gli scorrono intorno. Questo rappresenta la capacità dell'attaccante di evitare il rilevamento da parte delle misure di sicurezza, cambiando tattica per confondersi con il normale traffico di rete.

Il gruppo utilizza tattiche di mascheramento utilizzando nomi di file innocui, come Intel o Dell. Inoltre, utilizza strumenti comeackstab per disabilitare i sistemi di rilevamento e risposta (EDR) di endpoint e utilizza PowerShell per disabilitare i prodotti antivirus.

Un ladro con un kit di grimaldelli che lavora su un buco della serratura gigante a forma di modulo di login, che rappresenta gli sforzi dell'attaccante di rubare le credenziali dell'utente per ottenere un accesso non autorizzato.

Gli affiliati di Black Basta utilizzano strumenti di scraping delle credenziali come Mimikatz e sfruttano le vulnerabilità note per ottenere l'accesso amministrativo e l'escalation dei privilegi all'interno della rete.

Una lente di ingrandimento che si muove su una mappa digitale di una rete, evidenziando file, cartelle e connessioni di rete. Questa immagine rappresenta la fase in cui gli aggressori esplorano l'ambiente per capire la struttura e dove risiedono i dati preziosi.

Gli strumenti di scansione della rete, come SoftPerfect Network Scanner, vengono utilizzati per mappare la rete e identificare i sistemi chiave e gli archivi di dati.

Una serie di nodi interconnessi con una figura oscura che si muove furtivamente tra di essi. Questo illustra i movimenti dell'attaccante all'interno della rete, che cerca di ottenere il controllo di altri sistemi o di diffondere malware.

Il gruppo utilizza strumenti come BITSAdmin, PsExec, Remote Desktop Protocol (RDP), Splashtop, ScreenConnect e Cobalt Strike per muoversi lateralmente tra le reti.

Un grande aspirapolvere che aspira file, icone di dati e cartelle in un sacchetto tenuto da una figura in ombra. Questa immagine simboleggia il processo di raccolta di dati preziosi dalla rete di destinazione.

Prima della crittografia, i dati vengono raccolti e preparati per l'esfiltrazione. Ciò può comportare la compressione dei file o lo stoccaggio dei dati in vista del trasferimento.

Una finestra del prompt dei comandi aperta davanti a uno sfondo digitale, con la digitazione di codice dannoso. Questa rappresenta la fase in cui gli aggressori eseguono il loro payload dannoso all'interno del sistema compromesso.

Prima della crittografia, i dati vengono raccolti e preparati per l'esfiltrazione. Ciò può comportare la compressione dei file o lo stoccaggio dei dati in vista del trasferimento.

Una serie di file che vengono convogliati attraverso un canale nascosto da un computer a un sito cloud etichettato con un teschio, che simboleggia il trasferimento non autorizzato di dati a una posizione controllata dall'aggressore.

Strumenti come RClone vengono utilizzati per esfiltrare i dati su server controllati dagli attori. Questi dati vengono spesso utilizzati come leva per spingere le vittime a pagare il riscatto.

Uno schermo incrinato con dietro un paesaggio urbano digitale in preda al caos, che simboleggia l'impatto distruttivo del cyberattacco, come l'interruzione del servizio, la distruzione dei dati o la perdita finanziaria.

Il ransomware cripta i file utilizzando un algoritmo ChaCha20 con una chiave pubblica RSA-4096, aggiungendo un'estensione .basta o casuale ai nomi dei file. Le note di riscatto lasciate sui sistemi compromessi istruiscono le vittime a contattare il gruppo tramite un sito Tor.

Accesso iniziale

Gli affiliati di Black Basta utilizzano tipicamente e-mail di spearphishing e sfruttano vulnerabilità note come CVE-2024-1709. È noto anche che abusano di credenziali valide per ottenere l'accesso iniziale. malware.

Escalation dei privilegi

Strumenti come Mimikatz vengono utilizzati per lo scraping delle credenziali, mentre vulnerabilità come ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278, CVE-2021-42287) e PrintNightmare (CVE-2021-34527) vengono sfruttate per aumentare i privilegi.

Difesa Evasione

Il gruppo utilizza tattiche di mascheramento utilizzando nomi di file innocui, come Intel o Dell. Inoltre, utilizza strumenti comeackstab per disabilitare i sistemi di rilevamento e risposta (EDR) di endpoint e utilizza PowerShell per disabilitare i prodotti antivirus.

Accesso alle credenziali

Gli affiliati di Black Basta utilizzano strumenti di scraping delle credenziali come Mimikatz e sfruttano le vulnerabilità note per ottenere l'accesso amministrativo e l'escalation dei privilegi all'interno della rete.

Scoperta

Gli strumenti di scansione della rete, come SoftPerfect Network Scanner, vengono utilizzati per mappare la rete e identificare i sistemi chiave e gli archivi di dati.

Movimento laterale

Il gruppo utilizza strumenti come BITSAdmin, PsExec, Remote Desktop Protocol (RDP), Splashtop, ScreenConnect e Cobalt Strike per muoversi lateralmente tra le reti.

Collezione

Prima della crittografia, i dati vengono raccolti e preparati per l'esfiltrazione. Ciò può comportare la compressione dei file o lo stoccaggio dei dati in vista del trasferimento.

Esecuzione

Prima della crittografia, i dati vengono raccolti e preparati per l'esfiltrazione. Ciò può comportare la compressione dei file o lo stoccaggio dei dati in vista del trasferimento.

Esfiltrazione

Strumenti come RClone vengono utilizzati per esfiltrare i dati su server controllati dagli attori. Questi dati vengono spesso utilizzati come leva per spingere le vittime a pagare il riscatto.

Impatto

Il ransomware cripta i file utilizzando un algoritmo ChaCha20 con una chiave pubblica RSA-4096, aggiungendo un'estensione .basta o casuale ai nomi dei file. Le note di riscatto lasciate sui sistemi compromessi istruiscono le vittime a contattare il gruppo tramite un sito Tor.

MITRE ATT&CK Mappatura

TTP utilizzati da Black Basta

Black Basta impiega vari TTP allineati con il quadro di riferimento di MITRE ATT&CK . Alcuni dei principali TTP includono:

TA0001: Initial Access

T1566

Phishing

T1190

Exploit Public-Facing Application

T1078

Valid Accounts

TA0002: Execution

T1059

Command and Scripting Interpreter

TA0003: Persistence

T1543

Create or Modify System Process

T1547

Boot or Logon Autostart Execution

T1078

Valid Accounts

T1053

Scheduled Task/Job

TA0004: Privilege Escalation

T1543

Create or Modify System Process

T1068

Exploitation for Privilege Escalation

T1547

Boot or Logon Autostart Execution

T1078

Valid Accounts

T1053

Scheduled Task/Job

TA0005: Defense Evasion

T1027

Obfuscated Files or Information

T1562

Impair Defenses

T1078

Valid Accounts

TA0006: Credential Access

T1110

Brute Force

T1056

Input Capture

T1003

OS Credential Dumping

TA0007: Discovery

T1082

System Information Discovery

TA0008: Lateral Movement

T1077

Remote Services: SMB/Windows Admin Shares

TA0009: Collection

T1005

Data from Local System

TA0011: Command and Control

No items found.

TA0010: Exfiltration

T1041

Exfiltration Over C2 Channel

T1020

Automated Exfiltration

TA0040: Impact

T1485

Data Destruction

T1486

Data Encrypted for Impact

Rilevamenti della piattaforma

Come individuare il Black Basta con Vectra AI

Elenco dei rilevamenti disponibili nella piattaforma Vectra AI che indicano un attacco ransomware.

AWS Ransomware S3 Activity

Brute-Force

M365 Internal Spearphishing

M365 Ransomware

RDP Recon

RPC Targeted Recon

Visualizza altri rilevamenti

Valutare l'esposizione agli attacchi

DOMANDE FREQUENTI

Che cos'è Blackbasta Ransomware?

Blackbasta è un sofisticato gruppo di ransomware emerso nell'aprile del 2022. Utilizza una doppia tattica di estorsione, criptando i dati delle vittime e minacciando di rilasciare le informazioni sensibili se non viene pagato il riscatto.

Come fa Blackbasta a ottenere l'accesso iniziale a una rete?

Blackbasta spesso ottiene l'accesso iniziale attraverso le e-mail di phishing contenenti allegati o link dannosi, sfruttando le vulnerabilità delle applicazioni rivolte al pubblico e utilizzando pubblicità dannose o download drive-by.

Quali sono i settori più frequentemente presi di mira da Blackbasta?

Blackbasta si rivolge a un'ampia gamma di settori, tra cui quello sanitario, manifatturiero, finanziario, legale, educativo, governativo e informatico.

Quali sono i Paesi più colpiti dagli attacchi Blackbasta?

Blackbasta si rivolge principalmente alle organizzazioni di Stati Uniti, Canada, Regno Unito, Germania, Francia e Australia, pur avendo una portata globale.

Quali sono alcune delle tattiche, tecniche e procedure (TTP) conosciute utilizzate dai Blackbasta?

Blackbasta impiega vari TTP come phishing (T1566), interprete di comandi e scripting (T1059), dumping delle credenziali (T1003), disabilitazione degli strumenti di sicurezza (T1562) e dati crittografati per l'impatto (T1486).

Come fa Blackbasta ad aumentare i privilegi all'interno di una rete compromessa?

Blackbasta aumenta i privilegi sfruttando vulnerabilità del software non patchate e utilizzando strumenti come Mimikatz per estrarre le credenziali dalla memoria.

Quali metodi utilizza Blackbasta per eludere il rilevamento?

Blackbasta utilizza tecniche di offuscamento, disabilita gli strumenti di sicurezza, impiega tattiche di "living off the land" (LotL) e utilizza software e strumenti legittimi per eludere il rilevamento.

Come si muove Blackbasta lateralmente all'interno di una rete?

Blackbasta utilizza Remote Desktop Protocol (RDP), Windows Management Instrumentation (WMI) e servizi remoti per spostarsi lateralmente all'interno di una rete.

Quali sono le fasi tipiche di un attacco ransomware Blackbasta?

Le fasi comprendono l'accesso iniziale, l'escalation dei privilegi, l'evasione della difesa, l'accesso alle credenziali, la scoperta, il movimento laterale, la raccolta, l'esecuzione, l'esfiltrazione e l'impatto.

Quali misure preventive possono adottare le organizzazioni per proteggersi dal ransomware Blackbasta?

Le organizzazioni possono proteggersi da Blackbasta implementando un robusto filtro delle e-mail, patchando tempestivamente le vulnerabilità, utilizzando l'autenticazione a più fattori, effettuando una regolare formazione sulla sicurezza per i dipendenti, monitorando le attività insolite, mantenendo backup aggiornati e implementando sistemi di Extended Detection and Response (XDR) per identificare e rispondere rapidamente alle minacce.