L'analisi tecnica

Black Basta, il ransomware che sfrutta i servizi di Windows per criptare i dati: i dettagli

Un nuovo gruppo ransomware, ribattezzato Black Basta e già noto per aver recentemente preso di mira l’American Dental Association (ADA), è arrivato anche in Italia. Il malware ruba i dati delle vittime e li cripta sfruttando servizi leciti di Windows. Ecco tutti i dettagli e quali danni può causare

29 Apr 2022
F
Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

È stato ribattezzato Black Basta il nuovo gruppo di criminali informatici che ha iniziato le sue operazioni molto di recente e sfrutta il ransomware come arma contro le proprie vittime.

Le richieste di riscatto piuttosto elevate e alcuni caratteristiche del codice malevolo e del suo modus operandi hanno indotto i ricercatori di sicurezza di Swascan a pensare che si tratti di un re-branding di un malware già noto.

Analizziamo i dettagli del ransomware adoperato nei primi attacchi portati a termine dal gruppo criminale.

I dettagli del ransomware Black Basta

Dalle prime analisi sembrerebbe che la nuova cyber gang Black Basta abbia iniziato le sue attività criminali nel mese di aprile.

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza

I criminal hacker rivendicano i loro attacchi su un nuovo data leak site .onion, consultabile quindi sotto rete Tor.

Come si può notare dalla home page del sito, vengono rivendicati già un interessante numero di attacchi, in poche settimane di attività. Le vittime rivendicate al momento della scrittura di questo articolo sono dieci. Tra queste, anche una PMI italiana, la LECHLER S.p.A. del settore chimico/industriale.

Come funziona il ransomware Black Basta

Da alcuni sample analizzati, i ricercatori Swascan hanno potuto effettuare una ricostruzione iniziale del funzionamento del malware utilizzato dalla nuova cyber gang. Black Basta utilizza l’ormai nota e diffusa tecnica di attacco denominata a doppia estorsione: prima di crittografare i file, infatti, ne ruba una copia da utilizzare poi nella seconda fase dell’attacco.

Quando il malware riesce a garantirsi l’accesso a una macchina interna all’azienda presa di mira, avendone rubato una copia dei dati, ne blocca l’accesso con la crittografia, rendendo così inutilizzabile il computer infetto.

Quindi, al riscatto operato per l’eventuale decriptazione dei file, spesso risolto con il ripristino di un backup, si aggiunge il riscatto “reputazionale” minacciando la vittima di rendere pubblici e scaricabili a chiunque i file precedentemente rubati (i quali spesso contengono dati sensibili e riservati).

Nello specifico del malware adoperato per le operazioni di Black Basta, i ricercatori hanno identificato che l’eseguibile ha necessità dei privilegi di amministratore per poter portare a termine con successo il suo compito. Inoltre dopo l’esecuzione prenderà il controllo di un servizio Windows lecito esistente e tramite questo processo background avvierà l’eseguibile di crittografia. Nei sample analizzati, il servizio utilizzato è stato “Fax” di Windows. Non è tuttavia detto che il processo preso di mira sia sempre lo stesso, possiamo pertanto aspettarci che venga dirottato un servizio Windows lecito in maniera personalizzata e predefinita da configurazione pre-attacco.

A questo punto, completato il processo di crittografia dei dati, il malware cambierà lo sfondo della macchina presa in ostaggio, riavvierà in “modalità provvisoria con rete” e depositerà sulla memoria del computer un file di testo Readme.txt contenente la nota di riscatto. All’interno le istruzioni per avviare la trattativa per il pagamento con il gruppo criminale. Si tratta di una web chat ospitata all’interno del sito web di Black Basta, via Tor, accessibile con un link personalizzato.

Il dubbio su possibili rebranding

È stato il ricercatore MalwareHunterTeam a instillare per primo il dubbio che l’operazione Black Basta sia in realtà un cambio di rotta di un’altra operazione ransomware già nota.

Alcuni dettagli, infatti, farebbero pensare al modo di presentarsi e di operare proprio della cyber gang Conti. Ricordiamo che proprio il ransomware Conti ha sofferto, dall’inizio della guerra in Ucraina, di pesanti data leak (che ne hanno esposto gran parte dei segreti interni, nonché il codice sorgente) portati a termine da un ricercatore ucraino, proprio in risposta alla posizione pro-Russia difesa dal noto gruppo criminale.

Il rebranding giustificherebbe, secondo l’ipotesi del ricercatore, la capacità di intraprendere nuove operazioni, sotto nuovo nome, cercando di sviare maggiormente l’indagine e l’attenzione mediatica rivolta nei confronti di Conti.

La difesa perimetrale per contrastare Black Basta

Il commento di Pierguido Iezzi, CEO di Swascan, sulla scoperta del nuovo ransomware Black Basta è rivolto ai metodi di contrasto per questo tipo di pericoli.

“È imperativo operare sempre più non solo sulla tradizionale analisi del rischio ma anche e soprattutto sulla threat intelligence e sulla security by detection e by reaction” sottolinea Iezzi, facendo presente che attacchi prodotti da cyber gang come Black Basta “sono contrastabili unicamente tramite un’implementazione comprensiva di un perimetro di difesa cyber basato sui tre pilastri della sicurezza informatica: sicurezza predittiva; sicurezza preventiva e sicurezza proattiva”.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4