Quell'archivio di minaccia: Vol 7 Black Basta

May 15 2023
Nel mondo interconnesso di oggi, la minaccia degli attacchi informatici è più diffusa che mai. I criminali informatici e gli attori dello stato-nazione cercano costantemente di sfruttare le vulnerabilità e rubare dati preziosi, ponendo un rischio significativo per le organizzazioni di tutte le dimensioni.

Nel mondo interconnesso di oggi, la minaccia degli attacchi informatici è più diffusa che mai. I criminali informatici e gli attori dello stato-nazione cercano costantemente di sfruttare le vulnerabilità e rubare dati preziosi, ponendo un rischio significativo per le organizzazioni di tutte le dimensioni. Per stare al passo con queste minacce, le organizzazioni devono avere una comprensione di chi sono questi attori delle minacce e di come operano.

In questa edizione di That Threat Archive, ci immergeremo nel gruppo di ransomware Black Basta, dove discuteremo di strumenti, attacchi recenti, alcuni indicatori di compromissione e un elenco di tutte le raccomandazioni importanti per migliorare la tua posizione di sicurezza e difenderti in modo proattivo da questi attacchi informatici.

Quindi benvenuti al volume 7 di That Threat Archive.

!! Quindi diamoci da fare e impariamo a conoscere BLACK BASTA !!

Black Basta è stato osservato per la prima volta nell'aprile 2022 ed è un gruppo ransomware. che i ricercatori hanno collegato al gruppo di hacking Fin7 noto anche come Carbank, tuttavia è stato suggerito da altri ricercatori che potrebbero esserci anche collegamenti a Conti che ha chiuso i propri server nel 2022.

Ciò significa che questo gruppo è piuttosto tosto e anche se è nuovo sulla scena del ransomware, non prendetelo alla leggera.

Sfondo su Fin7

Il Fin7, alias Carbanak/navigatore, si è fatto un nome rubando oltre 1 miliardo di dollari da più di 100 aziende nel 2014, iniziando con un software per skimmer di carte di credito che prendeva di mira le vittime. Nei sistemi del punto vendita.

Il modello a diamante di Black Basta

È stato visto che Black Basta ha un approccio mirato a chi prende di mira piuttosto che fare affidamento su tattiche spray-and-pray. Si ritiene che questo potrebbe essere un rebranding di Conti e Possibili ricerche mostrano che potrebbe anche essere collegato a Fin7 a causa delle sue somiglianze nelle tecniche e procedure tattiche (TTP), indirizzi IP e tecniche di evasione EDR.

Usano tecniche di doppia estorsione che è un tipo di attacco informatico che esfiltra e crittografa i dati di una vittima e quindi richiede un riscatto sia per la decrittazione che per la prevenzione della fuga di dati.

Sito di pagamento Black Basta

Quindi sappiamo che il gruppo è operativo dall'aprile 2022, ma è solo marzo 2023 quanti possono seriamente aver preso di mira in quel lasso di tempo?

?Immagine che mostra le vittime di Black Basta

Anche quanto sopra mi ha fatto pensare e, ad oggi, ci sono oltre 75 organizzazioni sul sito, il che è molto considerando che questo gruppo non esiste da così tanto tempo, quindi sono piuttosto attivi.

Recenti violazioni di Black Basta

APRILE 2022:

  • Appare Black Basta
  • Deutsche Windtechnik viene attaccata da Black Basta e deve interrompere le connessioni di monitoraggio remoto alle turbine eoliche
  • ADA (American Dental Association) ha rubato 2,8 GB di dati, il 30% di quei dati è trapelato sul sito con l'attacco che ha interrotto e-mail, telefoni e sistemi di chat.
  • Capita, che è una società di outsourcing del settore pubblico, viene attaccata e vengono rubati dati riservati, questo porta molte scuole e alcune infrastrutture nazionali critiche con gravi problemi IT.
  • Le Pagine Gialle in Canada (se hai la mia età i libri sono sicuramente molto più piccoli se riesci ancora a trovarli) annunciano di essere una vittima di Black Basta e sono stati trovati con dati rubati da passaporti, budget e debiti previsione e perdita di dati relativi all'indirizzo e alla data di nascita dei dipendenti.
  • ABB, che è una multinazionale svizzera che è un fornitore leader di tecnologia al momento della scrittura, sta ancora indagando sulla violazione.
  • Nota ransomware lasciata da Black Basta

Black Basta è scritto in C++ ed è un ransomware multipiattaforma che ha un impatto sia su Windows che su Linux. Il gruppo è noto per utilizzare il phishing con documenti/allegati dannosi che, quando l'utente interagisce con il documento, scarica Qakbot e Cobalt Strike.

Di seguito è descritta in dettaglio la catena Cyber ​​Kill di come Black Basta entra nella rete utilizzando un'e-mail di phishing come accesso iniziale e quindi segue attraverso la catena Kill.

Raccomandazioni

  1. Istruisci i dipendenti su minacce come il phishing
  2. Le soluzioni DLP (Data Loss Prevention) dovrebbero essere implementate su tutti gli endpoint
  3. Utilizzare password sicure e MFA (Multi-Factor Authentication)
  4. Non aprire collegamenti e allegati e-mail non attendibili senza verificarne l'autenticità
  5. Controlla gli account utente, amministratore e di servizio per assicurarti che tutti dispongano dei privilegi corretti
  6. Esamina le strategie di backup e assicurati che vengano eseguiti più backup e che uno sia isolato dalla rete.
  7. Stabilisci un elenco di software consentiti che esegua solo applicazioni legittime
  8. Conduci esercizi di squadra viola e test di penetrazione
  9. Blocca gli URL che potrebbero diffondere malware, ad esempio Torrent /Warez
  10. Abilita la protezione delle credenziali per limitare strumenti come Mimikatz
  11. Esamina la strategia per la password
  12. Disabilita le password in chiaro
  13. Utilizza meccanismi anti-spoofing e di autenticazione della posta elettronica

IP: 23.106.160[.]188

MD5 : DD4816841F1BAFDC0482EFC933BA8FE5

MD5: 5E601E8AA6A9A346E7907BA300EE1C3F

MD5: 325B90384EBDD794221C9A010C4A73B1

MD5:3f400f30415941348af21d515a2fc6a3bd0bf9c987288ca434221d7d81c54a47e913600a

MD5: 01FF5E75096FE6A8A45BFA9C75BFEB96

Grazie per aver letto questi commenti, interagisci e dammi un seguito.

Fonti

  • Esame della routine di infezione di Black Basta Ransomware (trendmicro.com)
  • La multinazionale tecnologica ABB colpita dall'attacco ransomware Black Basta (bleepingcomputer.com)
  • L'attacco ransomware Black Basta costa a Capita oltre 15 milioni di sterline | Settimanale informatico
  • www.bleepingcomputer.com/news/security/black-basta-ransomware-gang-linked-to-the-fin7-hacking-group/