Preventivo sconto multi-licenza
Sicurezza informatica Il ransomware Black Basta sfrutta nuove tattiche di...

Il ransomware Black Basta sfrutta nuove tattiche di ingegneria sociale

Entro Mezo nel Sicurezza informatica
Traduci in:
Italiano

Il gruppo Black Basta Ransomware, noto per le sue strategie in evoluzione, ha adottato nuovi metodi di distribuzione del payload a partire da ottobre 2024. Oltre alle tradizionali campagne ransomware, ora distribuiscono minacce come Zbot e DarkGate, a dimostrazione di un cambiamento calcolato nel loro approccio agli obiettivi di compromissione.

L'ingegneria sociale incontra il bombardamento di e-mail

Black Basta impiega l'email bombing come primo passo per sopraffare gli obiettivi. Questa tattica prevede l'iscrizione dell'email della vittima a numerose mailing list, affogando di fatto le comunicazioni legittime in un'ondata di spam. Dopo l'email bombing, gli aggressori contattano direttamente gli utenti interessati, sfruttando la confusione a proprio vantaggio.

Impersonificazione su piattaforme note

Una tattica degna di nota osservata nell'agosto 2024 prevede che gli aggressori si spaccino per personale IT o personale di supporto su piattaforme come Microsoft Teams. Ponendosi come insider fidati, convincono i bersagli a impegnarsi in ulteriori interazioni. In alcuni casi, gli aggressori impersonano persino personale IT effettivo dell'organizzazione presa di mira, amplificando la loro credibilità.

Sfruttare gli strumenti di accesso remoto per la compromissione

Le vittime vengono spesso ingannate e indotte a installare software di accesso remoto legittimo come AnyDesk, TeamViewer o Quick Assist di Microsoft. Una volta installati, questi strumenti garantiscono agli aggressori il controllo del sistema. Il team di sicurezza di Microsoft traccia il gruppo di criminali informatici che sfrutta Quick Assist con l'identificatore Storm-1811.

Reverse Shell e codici QR minacciosi

Oltre agli strumenti di accesso remoto, gli aggressori utilizzano il client OpenSSH per stabilire shell inverse, consentendo loro di controllare i sistemi compromessi. Un altro metodo prevede l'invio di codici QR dannosi tramite piattaforme di chat con il pretesto di aggiungere un dispositivo mobile attendibile. Questi codici QR probabilmente reindirizzano le vittime a infrastrutture dannose o rubano le loro credenziali.

Consegna del payload: furto di credenziali e attacchi successivi

Una volta stabilito l'accesso, gli aggressori distribuiscono payload aggiuntivi, come raccoglitori di credenziali personalizzati, Zbot o DarkGate. Questi strumenti consentono loro di raccogliere credenziali, enumerare l'ambiente della vittima e preparare il terreno per ulteriori attacchi. Il furto di file di configurazione VPN, combinato con credenziali compromesse, può anche consentire agli aggressori di aggirare l'autenticazione a più fattori e accedere direttamente alla rete del bersaglio.

Le origini e l'arsenale di Black Basta

Black Basta è emerso come gruppo autonomo nel 2022 dopo lo scioglimento della gang ransomware Conti. Inizialmente basato sulla botnet QakBot, il gruppo si è poi diversificato, integrando sofisticate tecniche di ingegneria sociale nelle sue operazioni.

Il loro arsenale di malware include:

  • KNOTWRAP : un dropper solo in memoria scritto in C/C++, in grado di eseguire payload in memoria.
  • KNOTROCK : un'utilità .NET utilizzata per distribuire il ransomware stesso.
  • DAWNCRY : un altro dropper che utilizza solo la memoria e che decifra ed esegue risorse incorporate utilizzando una chiave hard-coded.
  • PORTYARD : un tunneler che si collega ai server di comando e controllo (C2) utilizzando un protocollo binario personalizzato.
  • COGSCAN : strumento di ricognizione basato su .NET per l'enumerazione degli host di rete.

Un approccio ibrido alla distribuzione delle minacce

L'evoluzione di Black Basta evidenzia la loro transizione dalla dipendenza dalle botnet a un modello ibrido che combina sofisticatezza tecnica e ingegneria sociale. Questo cambiamento sottolinea la loro adattabilità e determinazione a infiltrarsi nelle reti target, ponendo una sfida persistente alle difese della sicurezza informatica.

Rimanere vigili contro Black Basta

Per contrastare tali minacce, le organizzazioni devono dare priorità alla consapevolezza della sicurezza informatica, implementare filtri e-mail robusti e istruire costantemente i dipendenti sui pericoli delle comunicazioni indesiderate e delle tattiche di impersonificazione. Misure efficaci sono essenziali per mitigare i rischi posti da questo gruppo di minacce in continua evoluzione.

Caricamento in corso...