Black Basta: il Ransomware as a Service a doppia estorsione

()

Le grandi organizzazioni devono fare i conti con Black Basta un RaaS che ruba le informazioni, le crittografa e minaccia di pubblicarle nei siti leak se non si paga il riscatto.

Black Basta

Unit 42 di Palo Alto Networks ha pubblicato un’analisi sulla continua crescita del ransomware Black Basta, analizzando diversi casi che lo hanno visto recentemente protagonista.

Black Basta è un Ransomware as a Service (RaaS) emerso per la prima volta nell’aprile 2022, anche se con ogni probabilità la fase di sviluppo era iniziata già e febbraio. L’attore o gli attori di questo RaaS utilizzano la tecnica della doppia estorsione: oltre a crittografare i file sui sistemi delle organizzazioni prese di mira e richiedere un riscatto per sbloccarli, hanno anche un sito di leak sul dark web sul quale minacciano di pubblicare informazioni sensibili in caso un’azienda scegliesse di non pagare il riscatto.

Gli affiliati di Black Basta sono stati molto attivi nella distribuzione e nelle attività di estorsione sin dalla comparsa del ransomware.

Sebbene gli affiliati siano attivi solo da un paio di mesi, in base alle informazioni pubblicate sul loro sito di leak, le organizzazioni compromesse sono già oltre 75. La ricerca evidenzia inoltre che:

  • Il RaaS sfrutta la doppia estorsione come componente dei suoi attacchi.
  • Nelle prime due settimane di attività del ransomware, il suo sito di leak ha registrato almeno 20 vittime.
  • Secondo quanto riferito, il gruppo ha compromesso diverse grandi organizzazioni, in settori quali, prodotti di consumo e industriali, energia, risorse, agricoltura, industria manifatturiera, utility, trasporti, agenzie governative, servizi professionali e di consulenza e settore immobiliare.

Dettagli tecnici

Il ransomware è scritto in C ++ e colpisce sia i sistemi operativi Windows che Linux. Crittografa i dati degli utenti utilizzando una combinazione di ChaCha20 e RSA-4096 e, per accelerare il processo di crittografia, il ransomware crittografa in blocchi di 64 byte, con 128 byte di dati che rimangono non crittografati tra le regioni crittografate. Più velocemente il Balck Basta crittografa, più sistemi possono potenzialmente essere compromessi prima che vengano attivate le difese. È un fattore chiave che gli affiliati cercano quando si uniscono a un gruppo Ransomware-as-a-Service.

Black Basta include tecniche anti-analisi che tentano di rilevare l’emulazione del codice o il sandboxing per evitare ambienti di macchine virtuali / di analisi. Supporta inoltre l’argomento della riga di comando -forcepath utilizzato per crittografare i file in una directory specificata. In caso contrario, l’intero sistema, ad eccezione di alcune directory critiche, viene crittografato.

Il ransomware genera un mutex con una stringa di dsajdhas.0 per garantire che ogni singola istanza del malware sia in esecuzione. Quindi eseguirà l’integrazione attraverso l’intero file system, crittografando i file con un’estensione di file di .basta.

Il Raas scrive i file Random-letters.ico e Random-letters.jpg nella directory %TEMP%. Il file .jpg viene utilizzato per sovrascrivere lo sfondo del desktop e viene visualizzato come segue:

Black Basta

Aggiunge un’icona personalizzata al Registro di sistema, corrispondente all’icona .basta

Black Basta

Avvierà quindi il sistema in modalità provvisoria e procederà a crittografare i file. Dopo aver completato con successo la crittografia, l’estensione del file viene modificata in .basta e il ransomware Balck Basta scriverà numerose istanze di readme.txt, che contiene la seguente richiesta di riscatto:

Black Basta
/ 5
Grazie per aver votato!

How useful was this post?

Click on a star to rate it!

Average rating / 5. Vote count:

No votes so far! Be the first to rate this post.

As you found this post useful...

Follow us on social media!

We are sorry that this post was not useful for you!

Let us improve this post!

Tell us how we can improve this post?