A pochi mesi dalla sua apparizione sulla scena globale, Black Basta, il gruppo di cybercriminali responsabile di un nuovo tipo di attacco ransomware, continua a seminare il terrore. Il panorama delle minacce cibernetiche è un campo in costante evoluzione e la comparsa di Black Basta Ransomware rappresenta un nuovo capitolo in questa trama intricata. Le sue tecniche sofisticate e le sue tattiche ingannevoli si sono dimostrate efficaci nel compromettere sistemi informatici in tutto il mondo.
Black Basta si distingue per la sua capacità di nascondere efficacemente i suoi payloads attraverso la crittografia e l’offuscamento, complicando l’analisi del suo comportamento durante il processo di crittografia dei file della vittima. Osservando l’entropia dell’eseguibile del ransomware, è possibile notare l’uso di un packer, una tecnica che comprime le sezioni “.text” e “.reloc” del codice, rendendo il processo di decodifica ancora più difficile.
Iniziando le sue operazioni criminali ad aprile 2023, Black Basta ha subito attirato l’attenzione dei ricercatori di sicurezza, che hanno scoperto che il ransomware utilizzato dal gruppo presenta caratteristiche tecniche avanzate e comportamenti insidiosi.
Black Basta: un lupo travestito da agnello?
Una delle caratteristiche più distintive di Black Basta è il suo utilizzo di servizi legittimi di Windows per infiltrarsi nelle macchine delle vittime.
Infatti, dopo aver ottenuto l’accesso a un computer, il ransomware Black Basta prende il controllo di un servizio legittimo di Windows, come il servizio “Fax”, per lanciare il suo eseguibile di crittografia.
Questo attacco a doppia estorsione è particolarmente insidioso: prima che i dati vengano crittografati, il malware ne ruba una copia che può essere successivamente utilizzata per estorcere ulteriori pagamenti minacciando di rendere pubblici i dati rubati. Infatti, dopo la crittografia, il malware cambia lo sfondo del computer infetto e rilascia un file Readme.txt contenente la nota di riscatto e le istruzioni per avviare la trattativa per il pagamento.
Oltre la maschera di Black Basta
Nonostante la nuova etichetta, alcuni esperti di sicurezza, tra cui il ricercatore MalwareHunterTeam, hanno espresso il sospetto che Black Basta potrebbe essere un rebranding di un altro gruppo di ransomware già noto, Conti. I parallelismi tra le tecniche operative e le tattiche di riscatto utilizzate da entrambi i gruppi, uniti alle recenti falle di sicurezza subite da Conti, hanno portato a questa ipotesi.
Vittime del ransomware Black Basta
Dal momento della sua prima apparizione nell’aprile 2022, Black Basta ha colpito con precisione organizzazioni in tutto il mondo, con un totale di oltre 75 vittime nei suoi primi quattro mesi di attività.
Fra queste, si segnalano anche diverse aziende italiane.
La sua strategia di attacco non sembra casuale; infatti, le vittime di Black Basta sono state attentamente selezionate, principalmente fra imprese edili e quelle che forniscono servizi professionali.
Le aziende di medie dimensioni sembrano essere le più colpite. Gli Stati Uniti sono il paese più attaccato, seguito dalla Germania, ma il ransomware ha dimostrato una portata globale, colpendo organizzazioni anche in altri paesi di lingua inglese, come Australia, Canada, Nuova Zelanda e Regno Unito, e non solo. L’impatto di Black Basta evidenzia la sua potente capacità di attacco e le sue vittime risentono delle conseguenze devastanti di un’infezione ransomware.
Come difendersi da Black Basta
Nel mondo della cybersecurity, la prevenzione è sempre la migliore difesa. Per contrastare le minacce come Black Basta è necessario adottare un approccio proattivo basato su tre pilastri della sicurezza informatica: sicurezza predittiva, preventiva e proattiva.
- Sicurezza predittiva: utilizzare intelligenza artificiale e machine learning per rilevare modelli di comportamento anomali che possono segnalare un attacco imminente.
- Sicurezza preventiva: aggiornare regolarmente software e hardware, implementare firewall e altre tecnologie di sicurezza e formare il personale su come riconoscere e rispondere alle minacce di sicurezza.
- Sicurezza proattiva: monitorare costantemente le reti e i sistemi per identificare e neutralizzare le minacce prima che possano causare danni.
Mentre le agenzie di sicurezza di tutto il mondo continuano a studiare Black Basta e a sviluppare metodi di difesa, ricordiamo che la conoscenza e la prevenzione rimangono le nostre migliori armi contro queste minacce emergenti.
Alcune considerazioni finali
L’avvento di gruppi di cybercriminali come Black Basta segnala un aumento nell’aggressività e nell’astuzia delle minacce informatiche.
Il loro arsenale in continua evoluzione e la capacità di adattarsi alle contromisure difensive esistenti rendono la prevenzione e la protezione fondamentali.
Di fronte a questa situazione, le aziende devono rispondere in modo proattivo, anziché reattivo. Eseguire regolarmente vulnerability assessment diventa quindi un passaggio critico. Questi esami consentono di individuare le vulnerabilità nel sistema prima che possano essere sfruttate dagli attaccanti, offrendo la possibilità di mettere in atto misure correttive tempestive.
Una strategia di sicurezza robusta e completa deve includere tali valutazioni come prassi standard, garantendo un ambiente di lavoro sicuro e protetto. Non aspettare di essere il prossimo bersaglio: proteggi la tua rete oggi con un assessment delle vulnerabilità.
- Autore articolo
- Gli ultimi articoli
Responsabile Marketing per due aziende leader nel settore della Sicurezza Informatica: organizzo e progetto iniziative di diffusione della cultura cybersecurity e dei rischi cyber-crime attraverso contenuti web, eventi on e off line e materiale info-grafico. Ho una naturale propensione per far coesistere il lato metodico e preciso del mio carattere con la parte più creativa, visionaria e ambiziosa di me. Sono curiosa, riflessiva e non metto freni alla mia fame di conoscenza.