Black Basta Team e gli attacchi ransomware a doppia estorsione

Threat Discovery è uno spazio editoriale di Telsy e TS-WAY dedicato all’approfondimento in ambito cyber threat intelligence a livello globale. Le informazioni riportate sono l’esito del lavoro di raccolta e analisi svolto dagli specialisti di TS-WAY per la piattaforma TS-Intelligence.In questo articolo presentiamo un profilo dell’operatore ransomware Black Basta Team.Black Basta Team: profilo dell’avversario

Black Basta Team è un operatore ransomware attivo almeno dai primi mesi del 2022. Gli affiliati al gruppo distribuiscono l’omonimo ransomware in campagne basate sulla tattica della doppia estorsione.

Dopo aver esfiltrato i dati delle vittime e cifrato quelli nei sistemi compromessi, gli attaccanti pubblicano la rivendicazione su un apposito portale. Le vittime che risultano non collaborative rischiano che su quello stesso portale vengano rilasciati i dati rubati.

 

L’arsenale di Black Basta Team e un possibile decryptor gratuito

Un’analisi condotta nei primi mesi di attività di Black Basta Team ha evidenziato che le tecniche, tattiche e procedure (TTP) dell’avversario presentavano alcuni punti di contatto con quelle del gruppo cybercrime russo Anunak (FIN7).Nel complesso, era emerso che la catena di infezione era stata avviata da e-mail che distribuivano documenti malevoli, fra cui file .docx con un exploit per la vulnerabilità Follina di Windows (CVE-2022-30190). Per scalare i privilegi l’avversario ha sfruttato altre vulnerabilità di Windows, come ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42287, CVE-2021-42278) e PrintNightmare (CVE-2021-34527).Gli avversari hanno poi impiegato una serie di tool di amministrazione remota, insieme ad altri per il proxy, il movimento laterale e l’elusione della detection. Il ransomware è stato distribuito in combo con la backdoor Qakbot, utilizzata per fare ricognizione manuale nei sistemi colpiti.Nell’agosto del 2023 è stato scoperto che numerosi avversari di diversa matrice, fra cui uno degli affiliati a Black Basta Team, hanno sfruttato per l’infrastruttura di rete l’ISP iraniano Cloudzy. La compagnia – che si sospetta essere una copertura dell’omologa abrNOC, con sede a Teheran – agisce come un provider di comando e controllo (C2P), mettendo a disposizione server privati virtuali basati sul protocollo RDP.A febbraio di quest’anno è stata scoperta una nuova backdoor per macOS, denominata RustDoor, probabilmente collegata a questo avversario e ad un altro operatore ransomware, chiamato ALPHV Team. A gennaio, infine, ricercatori di sicurezza hanno creato un decryptor del ransomware Black Basta a partire da un bug presente nella routine di crittografia. Il tool, messo a disposizione gratuitamente, consentirebbe il recupero dei file criptati nel periodo che va da novembre 2022 a dicembre 2023.

Alcuni analisti hanno appreso che gli sviluppatori della minaccia hanno nel frattempo corretto il bug, impedendo l’uso di questa tecnica negli attacchi più recenti.

 

Una vittimologia vasta e composita

Tra 2023 e 2024, Black Basta Team ha colpito oltre un centinaio di realtà operanti in tutti i settori produttivi a livello globale. In Italia, le sue vittime note sono aziende attive nei settori della produzione industriale, energetico, tecnologico, logistico e delle telecomunicazioni.Fra le presunte vittime eccellenti vi sono Hyundai Motor Europe e la multinazionale elettrotecnica svizzero-svedese ABB. Nei primi giorni di febbraio 2024, fonti di stampa hanno riportato la notizia di un attacco ransomware firmato Black Basta Team contro la divisione europea della casa automobilistica sudcoreana Hyundai Motor Company.In base a quanto riportato da tali fonti, l’offensiva sarebbe stata sferrata a inizio gennaio, comportando l’esfiltrazione di 3 TB di dati.Sebbene non sia noto quali dati siano stati sottratti, i nomi delle cartelle pubblicate a riprova della compromissione farebbero riferimento a vari dipartimenti aziendali, tra cui quello legale, delle vendite, delle risorse umane, della contabilità, IT e di management. Effettivamente, a gennaio l’azienda avrebbe dichiarato di star indagando su un caso in cui una terza parte non autorizzata aveva avuto accesso a una porzione limitata della sua rete.

Tuttavia, la rivendicazione non sarebbe mai comparsa sul sito dell’avversario. Il presunto attacco alla ABB risale invece a maggio 2023.

La notizia è stata riportata da un noto sito di news sul mondo della tecnologia e la società ha effettivamente rilasciato una dichiarazione nella quale affermava di aver rilevato un incidente di sicurezza che ha interessato direttamente alcune sue sedi e sistemi. Anche in quel caso, sul sito dei leak dell’operatore ransomware non è comparsa alcuna rivendicazione.

Le evidenze emerse in questa analisi sono state prodotte grazie alla piattaforma TS-Intelligence e agli specialisti di TS-WAY, un gruppo di lavoro altamente specializzato oggi parte di Telsy e del Gruppo TIM.

 

Telsy e TS-WAY

TS-WAY è un’azienda che sviluppa tecnologie e servizi per organizzazioni di medie e grandi dimensioni, con un’expertise in cyber threat intelligence unica nel panorama italiano. Nata nel 2010, dal 2023 TS-WAY è entrata a far parte di Telsy.TS-WAY si configura come una effettiva estensione dell’organizzazione cliente, a supporto del team in-house, per le attività informative e di investigazione, per la risposta ad incidenti informatici e per le attività di verifica della sicurezza dei sistemi.L’esperienza di TS-WAY è riconosciuta in consessi internazionali ed è avvalorata da grandi organizzazioni private nei comparti finanza, assicurazioni, difesa, energia, telecomunicazioni, trasporti, tecnologia e da organizzazioni governative e militari che nel tempo hanno utilizzato i servizi di questa società italiana.

 

I servizi di TS-WAY

TS-WAY è un’azienda che sviluppa tecnologie e servizi per organizzazioni di medie e grandi dimensioni, con un’expertise in cyber threat intelligence unica nel panorama italiano. Nata nel 2010, dal 2023 TS-WAY è entrata a far parte di Telsy.TS-WAY si configura come una effettiva estensione dell’organizzazione cliente, a supporto del team in-house, per le attività informative e di investigazione, per la risposta ad incidenti informatici e per le attività di verifica della sicurezza dei sistemi.L’esperienza di TS-WAY è riconosciuta in consessi internazionali ed è avvalorata da grandi organizzazioni private nei comparti finanza, assicurazioni, difesa, energia, telecomunicazioni, trasporti, tecnologia e da organizzazioni governative e militari che nel tempo hanno utilizzato i servizi di questa società italiana.

 

TS-Intelligence

TS-Intelligence è una soluzione proprietaria, flessibile e personalizzabile, che fornisce alle organizzazioni un panorama di rischio dettagliato.Si presenta come una piattaforma fruibile via web e full-API che può essere azionata all’interno dei sistemi e delle infrastrutture difensive dell’organizzazione, con l’obiettivo di rafforzare la protezione nei confronti delle minacce cibernetiche complesse.La costante attività di ricerca e analisi sui threat actors e sulle minacce emergenti in rete, sia in ambito APT che cyber crime, produce un continuo flusso informativo di natura esclusiva che viene messo a disposizione delle organizzazioni in real-time ed elaborato in report tecnici, strategici ed executive.Scopri di più sui servizi di TS-WAY.

 

Claudio Di GiuseppeVedi tutti gli articoli

Diplomato in chimica a Roma, si laurea in sociologia per poi specializzarsi in comunicazione, valutazione e ricerca sociale. Si dedica allo studio di internet, della comunicazione digitale e del marketing, conseguendo un master negli Stati Uniti, a Los Angeles. Successivamente consegue un master di II livello in geopolitica e sicurezza globale, in Italia. Attualmente è Junior Communication Specialist per Telsy, Gruppo TIM. Collabora con la Croce Rossa Italiana come operatore volontario e operatore in attività di protezione civile (OPEM).

Login

Benvenuto! Accedi al tuo account

Ricordami Hai perso la password?

Lost Password

My Agile Privacy
Questo sito utilizza cookie tecnici e di profilazione. Cliccando su accetta si autorizzano tutti i cookie di profilazione. Cliccando su rifiuta o la X si rifiutano tutti i cookie di profilazione. Cliccando su personalizza è possibile selezionare quali cookie di profilazione attivare. Inoltre, questo sito installa Google Analytics nella versione 4 (GA4) con trasmissione di dati anonimi tramite proxy. Prestando il consenso, l'invio dei dati sarà effettuato in maniera anonima, tutelando così la tua privacy.
AccettaRifiutaPersonalizza
Attenzione: alcune funzionalità di questa pagina potrebbero essere bloccate a seguito delle tue scelte privacy: