Rilevamento Attività di Black Basta: FBI, CISA e Partner Avvisano di Attacchi Ransomware in Aumento che Prendono di Mira i Settori Infrastrutturali Critici, Inclusi SanitÃ
Indice:
A maggio 2024, i malintenzionati operatori del ransomware Black Basta hanno violato oltre 500 organizzazioni globali. In risposta alle minacce crescenti, le principali agenzie di cybersecurity negli Stati Uniti e a livello globale hanno emesso un avviso congiunto per mettere in guardia i difensori sull’attività crescente del gruppo, che ha già colpito dozzine di organizzazioni di infrastrutture critiche, incluso il settore sanitario.
Rilevare le infezioni da ransomware Black Basta
Con oltre 300 milioni di tentativi di attacco ransomware rilevati solo nel 2023, la minaccia ransomware resta una delle principali sfide per i difensori del cyberspazio. Pur essendo un attore relativamente nuovo nel panorama cyber, il collettivo criminale Black Basta ha impattato centinaia di organizzazioni di alto profilo in tutto il mondo, cercando guadagni finanziari.
Per rimanere proattivi e rilevare possibili attacchi nelle prime fasi di sviluppo, i professionisti della sicurezza possono esplorare l’ultimo allerta CSA che dettaglia i TTP e gli strumenti di Black Basta. Inoltre, i professionisti della cybersecurity possono fare affidamento sulla piattaforma SOC Prime per la difesa cyber collettiva che offre un insieme di regole Sigma curate per affrontare i metodi di attacco descritti nell’ avviso AA24-131A. Basta premere il pulsante Esplora Rilevamenti e immediatamente approfondire un pacchetto di rilevamento pertinente.
Tutte le regole sono compatibili con oltre 30 tecnologie SIEM, EDR e Data Lake e mappate su framework MITRE ATT&CK® v14.1. Inoltre, i rilevamenti sono arricchiti con metadati estensivi, inclusi collegamenti CTI, riferimenti ATT&CK, cronologie di attacco e altro.
I professionisti della sicurezza che cercano contesto aggiuntivo sui TTP di Black Basta e desiderano analizzare gli attacchi retrospettivamente possono cercare più regole Sigma correlate nel Threat Detection Marketplace usando il tag “Black Basta”.
Analisi degli attacchi ransomware Black Basta
Gli attori della minaccia Black Basta sono stati al centro dell’attenzione almeno dalla primavera 2022 operando come RaaS e prendendo di mira principalmente numerose imprese e organizzazioni di infrastrutture critiche in Nord America, Europa e Australia. Secondo l’ avviso di sicurezza congiunto AA24-131A, in un periodo di 2 anni di attività avversaria, il gruppo ha colpito più di 500 organizzazioni in tutto il mondo, evidenziando la necessità di aumentare la consapevolezza sulla sicurezza informatica e le misure difensive proattive.
FBI, CISA e partner hanno condiviso approfondimenti sugli attacchi ransomware in corso, con almeno una dozzina di entità di infrastrutture critiche esposte a crittografia e esfiltrazione dei dati da parte degli avversari, incluso il settore sanitario.
Per l’accesso iniziale, Black Basta sfrutta comunemente il phishing e arma vulnerabilità di sicurezza note. Inoltre, gli avversari impiegano un approccio di doppia estorsione, che prevede sia la crittografia dei sistemi che l’estrazione dei dati. Invece di inviare una richiesta di riscatto iniziale o linee guida per il pagamento, Black Basta fornisce alle vittime un codice unico e le invita a contattare il gruppo ransomware tramite un URL personalizzato accessibile tramite il browser Tor.
Per scopi di scansione della rete, Black Basta utilizza strumenti come SoftPerfect (netscan.exe) eper le procedure di ricognizione, gli avversari sfruttano comunemente utility con nomi di file apparentemente innocui, come Intel o Dell.
Per muoversi lateralmente attraverso le reti esposte, gli affiliati Black Basta si affidano a utility come BITSAdmin, PsExec e RDP. Possono anche sfruttare Splashtop, ScreenConnect, e Cobalt Strike beacons per l’accesso remoto. Per l’elevazione dei privilegi, Black Basta utilizza utility di scraping delle credenziali come Mimikatz e può anche trarre vantaggio da exploit di vulnerabilità , ad esempio, abusando di ZeroLogon, CVE-2021-42287, o di noto difetti di sicurezza PrintNightmare.
Il gruppo ransomware Black Basta utilizza RClone per rubare dati da sistemi compromessi. Prima dell’esfiltrazione dei dati, tendono a eludere il rilevamento tramite PowerShell e l’utility Backstab. Successivamente crittografano i file usando l’algoritmo ChaCha20 con una chiave pubblica RSA-4096, aggiungono un’estensione file casuale e lasciano una nota di riscatto intitolata readme.txt mentre ostacolano il ripristino del sistema.
A causa delle grandi dimensioni, della forte dipendenza dalla tecnologia e dall’accesso a dati sensibili, le organizzazioni sanitarie rimangono bersagli attraenti per la banda di ransomware Black Basta. Per ridurre i rischi di violazioni, i difensori raccomandano alle organizzazioni critiche di installare tutti i necessari aggiornamenti del software e del firmware, applicare l’autenticazione multifattore, proteggere gli strumenti di accesso remoto e mantenere backup dei sistemi critici e delle configurazioni dei dispositivi per facilitare le procedure di ripristino. CISA e partner raccomandano inoltre di applicare le mitigazioni generali fornite nella #StopRansomware Guida per eliminare l’impatto e la probabilità di attacchi ransomware e minacce di estorsione di dati.
Con l’aumento degli attacchi attribuiti a Black Basta e altri affiliati ransomware che colpiscono organizzazioni di infrastrutture critiche, è fondamentale rafforzare continuamente la vigilanza cibernetica e fortificare le difese. Con il pacchetto completo di prodotti di SOC Prime per l’ingegneria delle rilevazioni potenziata dall’IA, l’hunting automatico delle minacce e la validazione degli stack di rilevamento, i difensori possono minimizzare i rischi di intrusioni e massimizzare il valore degli investimenti nella sicurezza.