Black Basta
Black BastaI metodi operativi dei terroristi evidenziano la loro adattabilità e la volontà di sfruttare sia le vulnerabilità tecniche sia i fattori umani per raggiungere i loro obiettivi. La comprensione di queste tattiche può aiutare le organizzazioni a rafforzare le proprie difese contro queste minacce sofisticate.
L'origine di Black Basta
Black Basta è stato un gruppo di ransomware a sfondo finanziario attivo dall'inizio del 2022 al gennaio 2025, noto per le operazioni di doppia estorsione ad alto impatto che hanno preso di mira organizzazioni in Nord America, Europa e Asia. Il gruppo compromette le reti aziendali per distribuire i payload del ransomware, esfiltra i dati sensibili e spinge le vittime a pagare riscatti multimilionari sotto la minaccia di fughe di notizie.
Black Basta fa spesso leva:
- Accesso iniziale tramite credenziali rubate, malspam o esposizione a desktop remoti.
- Cobalt Strike, Brute Ratel e caricatori personalizzati per il movimento laterale.
- Strumenti come Mimikatz, RClone e PSExec per il dumping delle credenziali e l'esfiltrazione dei dati.
- Pubblicazione di dati esfiltrati sul loro sito di leak per estorsione
Il gruppo ha mostrato legami con la gestione avanzata delle infrastrutture, compresi i livelli di proxy SOCKS, l'infrastruttura phishing e gli strumenti modulari. Mantiene comunicazioni interne in lingua russa e si coordina attraverso i canali di Matrix, spesso collaborando con affiliati o broker.
Black Basta è stato collegato ad attacchi a infrastrutture critiche, sanità, settore legale e manifatturiero. È considerata una delle operazioni ransomware più attive e strutturate del 2024.
Paesi presi di mira da Blackbasta
Black BastaLe operazioni dell'azienda si estendono su più regioni, con incidenti significativi segnalati negli Stati Uniti, in Germania, nel Regno Unito, in Canada e in Australia. Queste regioni sono spesso prese di mira a causa delle loro industrie di alto valore e delle loro infrastrutture critiche.
Industrie interessate da Blackbasta
Black Basta ha preso di mira un'ampia gamma di industrie, in particolare il settore della sanità e della salute pubblica (HPH) a causa della sua natura critica e della sua dipendenza dalla tecnologia. Altri settori colpiti sono quello finanziario, manifatturiero e informatico.
Le vittime di Blackbasta
Sebbene i nomi specifici delle vittime recenti non siano sempre disponibili al pubblico a causa di problemi di privacy e sicurezza, contiamo più di 439 vittime, tra cui importanti aziende e istituzioni nei settori sopra menzionati. Recenti rapporti indicano attacchi a sistemi sanitari, grandi aziende manifatturiere e istituzioni finanziarie.
Metodo di attacco di Blackbasta
Black Basta Gli affiliati utilizzano tipicamente e-mail di spearphishing e sfruttano vulnerabilità note come CVE-2024-1709. È noto anche che abusano di credenziali valide per ottenere l'accesso iniziale. malware.
Strumenti come Mimikatz vengono utilizzati per lo scraping delle credenziali, mentre vulnerabilità come ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278, CVE-2021-42287) e PrintNightmare (CVE-2021-34527) vengono sfruttate per aumentare i privilegi.
Il gruppo utilizza tattiche di mascheramento utilizzando nomi di file innocui, come Intel o Dell. Inoltre, utilizza strumenti comeackstab per disabilitare i sistemi di rilevamento e risposta (EDR) di endpoint e utilizza PowerShell per disabilitare i prodotti antivirus.
Black Basta Gli affiliati utilizzano strumenti di scraping delle credenziali come Mimikatz e sfruttano le vulnerabilità note per ottenere l'accesso amministrativo e l'escalation dei privilegi all'interno della rete.
Gli strumenti di scansione della rete, come SoftPerfect Network Scanner, vengono utilizzati per mappare la rete e identificare i sistemi chiave e gli archivi di dati.
Il gruppo utilizza strumenti come BITSAdmin, PsExec, Remote Desktop Protocol (RDP), Splashtop, ScreenConnect e Cobalt Strike per muoversi lateralmente tra le reti.
Prima della crittografia, i dati vengono raccolti e preparati per l'esfiltrazione. Ciò può comportare la compressione dei file o lo stoccaggio dei dati in vista del trasferimento.
Prima della crittografia, i dati vengono raccolti e preparati per l'esfiltrazione. Ciò può comportare la compressione dei file o lo stoccaggio dei dati in vista del trasferimento.
Strumenti come RClone vengono utilizzati per esfiltrare i dati su server controllati dagli attori. Questi dati vengono spesso utilizzati come leva per spingere le vittime a pagare il riscatto.
Il ransomware cripta i file utilizzando un algoritmo ChaCha20 con una chiave pubblica RSA-4096, aggiungendo un'estensione .basta o casuale ai nomi dei file. Le note di riscatto lasciate sui sistemi compromessi istruiscono le vittime a contattare il gruppo tramite un sito Tor.
Black Basta Gli affiliati utilizzano tipicamente e-mail di spearphishing e sfruttano vulnerabilità note come CVE-2024-1709. È noto anche che abusano di credenziali valide per ottenere l'accesso iniziale. malware.
Strumenti come Mimikatz vengono utilizzati per lo scraping delle credenziali, mentre vulnerabilità come ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278, CVE-2021-42287) e PrintNightmare (CVE-2021-34527) vengono sfruttate per aumentare i privilegi.
Il gruppo utilizza tattiche di mascheramento utilizzando nomi di file innocui, come Intel o Dell. Inoltre, utilizza strumenti comeackstab per disabilitare i sistemi di rilevamento e risposta (EDR) di endpoint e utilizza PowerShell per disabilitare i prodotti antivirus.
Black Basta Gli affiliati utilizzano strumenti di scraping delle credenziali come Mimikatz e sfruttano le vulnerabilità note per ottenere l'accesso amministrativo e l'escalation dei privilegi all'interno della rete.
Gli strumenti di scansione della rete, come SoftPerfect Network Scanner, vengono utilizzati per mappare la rete e identificare i sistemi chiave e gli archivi di dati.
Il gruppo utilizza strumenti come BITSAdmin, PsExec, Remote Desktop Protocol (RDP), Splashtop, ScreenConnect e Cobalt Strike per muoversi lateralmente tra le reti.
Prima della crittografia, i dati vengono raccolti e preparati per l'esfiltrazione. Ciò può comportare la compressione dei file o lo stoccaggio dei dati in vista del trasferimento.
Prima della crittografia, i dati vengono raccolti e preparati per l'esfiltrazione. Ciò può comportare la compressione dei file o lo stoccaggio dei dati in vista del trasferimento.
Strumenti come RClone vengono utilizzati per esfiltrare i dati su server controllati dagli attori. Questi dati vengono spesso utilizzati come leva per spingere le vittime a pagare il riscatto.
Il ransomware cripta i file utilizzando un algoritmo ChaCha20 con una chiave pubblica RSA-4096, aggiungendo un'estensione .basta o casuale ai nomi dei file. Le note di riscatto lasciate sui sistemi compromessi istruiscono le vittime a contattare il gruppo tramite un sito Tor.
I TTP utilizzati da Black Basta
Come rilevare Black Basta con Vectra AI
Elenco dei rilevamenti disponibili nella piattaforma Vectra AI che indicano un attacco ransomware.
DOMANDE FREQUENTI
Che cos'è Blackbasta Ransomware?
Blackbasta è un sofisticato gruppo di ransomware emerso nell'aprile del 2022. Utilizza una doppia tattica di estorsione, criptando i dati delle vittime e minacciando di rilasciare le informazioni sensibili se non viene pagato il riscatto.
Come fa Blackbasta a ottenere l'accesso iniziale a una rete?
Blackbasta spesso ottiene l'accesso iniziale attraverso le e-mail di phishing contenenti allegati o link dannosi, sfruttando le vulnerabilità delle applicazioni rivolte al pubblico e utilizzando pubblicità dannose o download drive-by.
Quali sono i settori più frequentemente presi di mira da Blackbasta?
Blackbasta si rivolge a un'ampia gamma di settori, tra cui quello sanitario, manifatturiero, finanziario, legale, educativo, governativo e informatico.
Quali sono i Paesi più colpiti dagli attacchi Blackbasta?
Blackbasta si rivolge principalmente alle organizzazioni di Stati Uniti, Canada, Regno Unito, Germania, Francia e Australia, pur avendo una portata globale.
Quali sono alcune delle tattiche, tecniche e procedure (TTP) conosciute utilizzate dai Blackbasta?
Blackbasta impiega vari TTP come phishing (T1566), interprete di comandi e scripting (T1059), dumping delle credenziali (T1003), disabilitazione degli strumenti di sicurezza (T1562) e dati crittografati per l'impatto (T1486).
Come fa Blackbasta ad aumentare i privilegi all'interno di una rete compromessa?
Blackbasta aumenta i privilegi sfruttando vulnerabilità del software non patchate e utilizzando strumenti come Mimikatz per estrarre le credenziali dalla memoria.
Quali metodi utilizza Blackbasta per eludere il rilevamento?
Blackbasta utilizza tecniche di offuscamento, disabilita gli strumenti di sicurezza, impiega tattiche di "living off the land" (LotL) e utilizza software e strumenti legittimi per eludere il rilevamento.
Come si muove Blackbasta lateralmente all'interno di una rete?
Blackbasta utilizza Remote Desktop Protocol (RDP), Windows Management Instrumentation (WMI) e servizi remoti per spostarsi lateralmente all'interno di una rete.
Quali sono le fasi tipiche di un attacco ransomware Blackbasta?
Le fasi comprendono l'accesso iniziale, l'escalation dei privilegi, l'evasione della difesa, l'accesso alle credenziali, la scoperta, il movimento laterale, la raccolta, l'esecuzione, l'esfiltrazione e l'impatto.
Quali misure preventive possono adottare le organizzazioni per proteggersi dal ransomware Blackbasta?
Le organizzazioni possono proteggersi da Blackbasta implementando un robusto filtro delle e-mail, patchando tempestivamente le vulnerabilità, utilizzando l'autenticazione a più fattori, effettuando una regolare formazione sulla sicurezza per i dipendenti, monitorando le attività insolite, mantenendo backup aggiornati e implementando sistemi di Extended Detection and Response (XDR) per identificare e rispondere rapidamente alle minacce.