Gli attacchi ransomware Black Basta colpiscono oltre 500 organizzazioni in tutto il mondo
L’impatto globale degli attacchi Black Basta Rnsomware è stato vasto, con oltre 500 organizzazioni vittime di questa attività minacciosa. Questo gruppo, identificato dall'aprile 2022, opera nell'ambito del modello ransomware-as-a-service (RaaS), in cui gli affiliati eseguono attacchi informatici per conto del gruppo, prendendo di mira le infrastrutture critiche in Nord America, Europa e Australia. In particolare, gli affiliati di Black Basta hanno sfruttato vulnerabilità come CVE-2024-1709 , un difetto critico di ConnectWise ScreenConnect, per ottenere l'accesso iniziale alle reti delle vittime.
Una volta all'interno, utilizzano vari strumenti per l'accesso remoto, la scansione della rete e l'esfiltrazione dei dati, tra cui SoftPerfect, PsExec e Mimikatz. Sono anche noti per sfruttare vulnerabilità come ZeroLogon e PrintNightmare per l'escalation dei privilegi, oltre a sfruttare il Remote Desktop Protocol (RDP) per lo spostamento laterale. Inoltre, l’implementazione dello strumento Backstab per disabilitare le soluzioni di rilevamento e risposta degli endpoint (EDR) aumenta la sofisticazione dei loro attacchi.
Per ostacolare gli sforzi di ripristino, gli aggressori eliminano le copie shadow del volume prima di crittografare i sistemi compromessi e lasciare dietro di sé una richiesta di riscatto. In risposta a queste minacce, agenzie governative come CISA, FBI, HHS e MS-ISAC hanno emesso avvisi che descrivono in dettaglio le tattiche, le tecniche e le procedure (TTP) di Black Basta, insieme agli indicatori di compromissione (IoC) e alle mitigazioni raccomandate.
Particolarmente vulnerabili sono le organizzazioni sanitarie a causa delle loro dimensioni, della dipendenza tecnologica e dell’accesso alle informazioni sanitarie personali. Riconoscendo ciò, le suddette agenzie sollecitano tutte le entità delle infrastrutture critiche, in particolare quelle del settore sanitario, a implementare le misure di mitigazione raccomandate per ridurre il rischio di compromissione da Black Basta e attacchi ransomware simili.
Nonostante le sfide poste da tali attacchi, sono stati compiuti sforzi per aiutare le vittime. Nel gennaio 2024, SRLabs ha rilasciato un decryptor gratuito per aiutare le vittime di Black Basta a recuperare i propri dati senza soccombere alle richieste di riscatto. Tali sforzi hanno funzionato per alcune vittime della minaccia, ma a molte è stato richiesto di utilizzare risorse anti-malware per liberare il proprio sistema dalla brutta minaccia malware, oltre ad altre minacce simili. Tali iniziative evidenziano l’approccio collaborativo necessario per combattere efficacemente le minacce ransomware aggressive.