Black Basta
Black BastaI metodi operativi dei terroristi evidenziano la loro adattabilità e la volontà di sfruttare sia le vulnerabilità tecniche sia i fattori umani per raggiungere i loro obiettivi. La comprensione di queste tattiche può aiutare le organizzazioni a rafforzare le proprie difese contro queste minacce sofisticate.
L'origine di Black Basta
Black Basta è una variante di ransomware-as-a-service (RaaS) identificata per la prima volta nell'aprile 2022. Il gruppo opera criptando ed esfiltrare i dati delle vittime ed è stato attivo in Nord America, Europa e Australia. A maggio 2024, gli affiliati di Black Basta hanno colpito oltre 500 organizzazioni a livello globale, tra cui almeno 12 settori di infrastrutture critiche su 16, con un'attenzione significativa al settore sanitario e della sanità pubblica (HPH).
Alcuni ricercatori ipotizzano che Black Basta possa essere collegato ad altri gruppi criminali come FIN7 e Conti, sulla base di somiglianze nelle tattiche, tecniche e procedure (TTP).
Fonte: OCD
Obiettivi
Obiettivi di Blackbasta
Paesi presi di mira da Blackbasta
Black BastaLe operazioni dell'azienda si estendono su più regioni, con incidenti significativi segnalati negli Stati Uniti, in Germania, nel Regno Unito, in Canada e in Australia. Queste regioni sono spesso prese di mira a causa delle loro industrie di alto valore e delle loro infrastrutture critiche.
Industrie interessate da Blackbasta
Black Basta ha preso di mira un'ampia gamma di industrie, in particolare il settore della sanità e della salute pubblica (HPH) a causa della sua natura critica e della sua dipendenza dalla tecnologia. Altri settori colpiti sono quello finanziario, manifatturiero e informatico.
Industrie interessate da Blackbasta
Black Basta ha preso di mira un'ampia gamma di industrie, in particolare il settore della sanità e della salute pubblica (HPH) a causa della sua natura critica e della sua dipendenza dalla tecnologia. Altri settori colpiti sono quello finanziario, manifatturiero e informatico.
Le vittime di Blackbasta
Sebbene i nomi specifici delle vittime recenti non siano sempre disponibili al pubblico a causa di problemi di privacy e sicurezza, contiamo più di 439 vittime, tra cui importanti aziende e istituzioni nei settori sopra menzionati. Recenti rapporti indicano attacchi a sistemi sanitari, grandi aziende manifatturiere e istituzioni finanziarie.
Metodo di attacco
Metodo di attacco di Blackbasta
Black Basta Gli affiliati utilizzano tipicamente e-mail di spearphishing e sfruttano vulnerabilità note come CVE-2024-1709. È noto anche che abusano di credenziali valide per ottenere l'accesso iniziale. malware.
Strumenti come Mimikatz vengono utilizzati per lo scraping delle credenziali, mentre vulnerabilità come ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278, CVE-2021-42287) e PrintNightmare (CVE-2021-34527) vengono sfruttate per aumentare i privilegi.
Il gruppo utilizza tattiche di mascheramento utilizzando nomi di file innocui, come Intel o Dell. Inoltre, utilizza strumenti comeackstab per disabilitare i sistemi di rilevamento e risposta (EDR) di endpoint e utilizza PowerShell per disabilitare i prodotti antivirus.
Black Basta Gli affiliati utilizzano strumenti di scraping delle credenziali come Mimikatz e sfruttano le vulnerabilità note per ottenere l'accesso amministrativo e l'escalation dei privilegi all'interno della rete.
Gli strumenti di scansione della rete, come SoftPerfect Network Scanner, vengono utilizzati per mappare la rete e identificare i sistemi chiave e gli archivi di dati.
Il gruppo utilizza strumenti come BITSAdmin, PsExec, Remote Desktop Protocol (RDP), Splashtop, ScreenConnect e Cobalt Strike per muoversi lateralmente tra le reti.
Prima della crittografia, i dati vengono raccolti e preparati per l'esfiltrazione. Ciò può comportare la compressione dei file o lo stoccaggio dei dati in vista del trasferimento.
Prima della crittografia, i dati vengono raccolti e preparati per l'esfiltrazione. Ciò può comportare la compressione dei file o lo stoccaggio dei dati in vista del trasferimento.
Strumenti come RClone vengono utilizzati per esfiltrare i dati su server controllati dagli attori. Questi dati vengono spesso utilizzati come leva per spingere le vittime a pagare il riscatto.
Il ransomware cripta i file utilizzando un algoritmo ChaCha20 con una chiave pubblica RSA-4096, aggiungendo un'estensione .basta o casuale ai nomi dei file. Le note di riscatto lasciate sui sistemi compromessi istruiscono le vittime a contattare il gruppo tramite un sito Tor.
Accesso iniziale
Black Basta Gli affiliati utilizzano tipicamente e-mail di spearphishing e sfruttano vulnerabilità note come CVE-2024-1709. È noto anche che abusano di credenziali valide per ottenere l'accesso iniziale. malware.
Escalation dei privilegi
Strumenti come Mimikatz vengono utilizzati per lo scraping delle credenziali, mentre vulnerabilità come ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278, CVE-2021-42287) e PrintNightmare (CVE-2021-34527) vengono sfruttate per aumentare i privilegi.
Difesa Evasione
Il gruppo utilizza tattiche di mascheramento utilizzando nomi di file innocui, come Intel o Dell. Inoltre, utilizza strumenti comeackstab per disabilitare i sistemi di rilevamento e risposta (EDR) di endpoint e utilizza PowerShell per disabilitare i prodotti antivirus.
Accesso alle credenziali
Black Basta Gli affiliati utilizzano strumenti di scraping delle credenziali come Mimikatz e sfruttano le vulnerabilità note per ottenere l'accesso amministrativo e l'escalation dei privilegi all'interno della rete.
Scoperta
Gli strumenti di scansione della rete, come SoftPerfect Network Scanner, vengono utilizzati per mappare la rete e identificare i sistemi chiave e gli archivi di dati.
Movimento laterale
Il gruppo utilizza strumenti come BITSAdmin, PsExec, Remote Desktop Protocol (RDP), Splashtop, ScreenConnect e Cobalt Strike per muoversi lateralmente tra le reti.
Collezione
Prima della crittografia, i dati vengono raccolti e preparati per l'esfiltrazione. Ciò può comportare la compressione dei file o lo stoccaggio dei dati in vista del trasferimento.
Esecuzione
Prima della crittografia, i dati vengono raccolti e preparati per l'esfiltrazione. Ciò può comportare la compressione dei file o lo stoccaggio dei dati in vista del trasferimento.
Esfiltrazione
Strumenti come RClone vengono utilizzati per esfiltrare i dati su server controllati dagli attori. Questi dati vengono spesso utilizzati come leva per spingere le vittime a pagare il riscatto.
Impatto
Il ransomware cripta i file utilizzando un algoritmo ChaCha20 con una chiave pubblica RSA-4096, aggiungendo un'estensione .basta o casuale ai nomi dei file. Le note di riscatto lasciate sui sistemi compromessi istruiscono le vittime a contattare il gruppo tramite un sito Tor.
MITRE ATT&CK Mappatura
I TTP utilizzati da Black Basta
Black Basta impiega diversi TTP allineati con il quadro di riferimento MITRE ATT&CK . Alcuni dei principali TTP includono:
TA0001: Initial Access
T1566
Phishing
T1190
Exploit Public-Facing Application
T1078
Valid Accounts
TA0002: Execution
T1059
Command and Scripting Interpreter
TA0003: Persistence
T1543
Create or Modify System Process
T1547
Boot or Logon Autostart Execution
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1543
Create or Modify System Process
T1068
Exploitation for Privilege Escalation
T1547
Boot or Logon Autostart Execution
T1078
Valid Accounts
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1027
Obfuscated Files or Information
T1562
Impair Defenses
T1078
Valid Accounts
TA0006: Credential Access
T1110
Brute Force
T1056
Input Capture
T1003
OS Credential Dumping
TA0007: Discovery
T1082
System Information Discovery
TA0008: Lateral Movement
T1077
Remote Services: SMB/Windows Admin Shares
TA0009: Collection
T1005
Data from Local System
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1041
Exfiltration Over C2 Channel
T1020
Automated Exfiltration
TA0040: Impact
T1485
Data Destruction
T1486
Data Encrypted for Impact
Rilevamenti della piattaforma
Come rilevare Black Basta con Vectra AI
Elenco dei rilevamenti disponibili nella piattaforma Vectra AI che indicano un attacco ransomware.
DOMANDE FREQUENTI
Che cos'è Blackbasta Ransomware?
Blackbasta è un sofisticato gruppo di ransomware emerso nell'aprile del 2022. Utilizza una doppia tattica di estorsione, criptando i dati delle vittime e minacciando di rilasciare le informazioni sensibili se non viene pagato il riscatto.
Come fa Blackbasta a ottenere l'accesso iniziale a una rete?
Blackbasta spesso ottiene l'accesso iniziale attraverso le e-mail di phishing contenenti allegati o link dannosi, sfruttando le vulnerabilità delle applicazioni rivolte al pubblico e utilizzando pubblicità dannose o download drive-by.
Quali sono i settori più frequentemente presi di mira da Blackbasta?
Blackbasta si rivolge a un'ampia gamma di settori, tra cui quello sanitario, manifatturiero, finanziario, legale, educativo, governativo e informatico.
Quali sono i Paesi più colpiti dagli attacchi Blackbasta?
Blackbasta si rivolge principalmente alle organizzazioni di Stati Uniti, Canada, Regno Unito, Germania, Francia e Australia, pur avendo una portata globale.
Quali sono alcune delle tattiche, tecniche e procedure (TTP) conosciute utilizzate dai Blackbasta?
Blackbasta impiega vari TTP come phishing (T1566), interprete di comandi e scripting (T1059), dumping delle credenziali (T1003), disabilitazione degli strumenti di sicurezza (T1562) e dati crittografati per l'impatto (T1486).
Come fa Blackbasta ad aumentare i privilegi all'interno di una rete compromessa?
Blackbasta aumenta i privilegi sfruttando vulnerabilità del software non patchate e utilizzando strumenti come Mimikatz per estrarre le credenziali dalla memoria.
Quali metodi utilizza Blackbasta per eludere il rilevamento?
Blackbasta utilizza tecniche di offuscamento, disabilita gli strumenti di sicurezza, impiega tattiche di "living off the land" (LotL) e utilizza software e strumenti legittimi per eludere il rilevamento.
Come si muove Blackbasta lateralmente all'interno di una rete?
Blackbasta utilizza Remote Desktop Protocol (RDP), Windows Management Instrumentation (WMI) e servizi remoti per spostarsi lateralmente all'interno di una rete.
Quali sono le fasi tipiche di un attacco ransomware Blackbasta?
Le fasi comprendono l'accesso iniziale, l'escalation dei privilegi, l'evasione della difesa, l'accesso alle credenziali, la scoperta, il movimento laterale, la raccolta, l'esecuzione, l'esfiltrazione e l'impatto.
Quali misure preventive possono adottare le organizzazioni per proteggersi dal ransomware Blackbasta?
Le organizzazioni possono proteggersi da Blackbasta implementando un robusto filtro delle e-mail, patchando tempestivamente le vulnerabilità, utilizzando l'autenticazione a più fattori, effettuando una regolare formazione sulla sicurezza per i dipendenti, monitorando le attività insolite, mantenendo backup aggiornati e implementando sistemi di Extended Detection and Response (XDR) per identificare e rispondere rapidamente alle minacce.