Il gruppo di ransomware Black Basta ha dimostrato una straordinaria resilienza e capacità di adattamento in un panorama informatico in continuo cambiamento. Con oltre 500 attacchi riusciti a danno di aziende in tutto il mondo, questa organizzazione criminale ha rafforzato la sua strategia di estorsione, combinando furti di dati e crittografia, e richiedendo riscatti milionari. Questa analisi approfondita esplora la varietà di strumenti, tecniche e strategie che Black Basta ha impiegato per mantenere la propria posizione di rilievo nel panorama delle minacce informatiche.
Origine e crescita del gruppo Black Basta
Chi sono e quando sono attivi
Black Basta è emerso nel panorama della cybersicurezza nell’aprile del 2022, rapidamente guadagnando notorietà per la sua efficienza nel perpetrate attacchi ransomware devastanti. Con un’operatività che ha visto la compromissione di importanti entità globali come Veolia North America, Hyundai Motor Europe e Keytronic, il gruppo si è dimostrato altamente competente nell’arte del cybercrimine. Questa ascesa ha avuto impatti devastanti su un notevole numero di organizzazioni, creando timori e preoccupazioni in tutto il settore della sicurezza informatica.
Doppia estorsione e metodologie di attacco
La strategia di Black Basta si basa su un approccio di doppia estorsione che combina il furto di dati con la crittografia delle informazioni. Questa metodologia ha reso le loro operazioni ancora più pericolose, poiché non solo bloccano l’accesso ai dati delle vittime, ma minacciano anche di rivelarli pubblicamente se il riscatto non viene pagato. Grazie alla loro partnership con il botnet QBot, il gruppo ha inizialmente potuto accedere facilmente alle reti aziendali, ma dopo il suo smantellamento da parte delle forze dell’ordine, Black Basta ha dovuto cercare nuove alleanze per continuare le sue operazioni illecite.
Evoluzione tecnologica e nuovi strumenti
L’adattamento post-QBot
Dopo l’intervento delle autorità competenti che hanno colpito le infrastrutture del QBot nel tardo 2023, Black Basta ha mostrato una rapida capacità di adattamento. Le ultime ricerche condotte da Mandiant, che segue gli attori minacciosi con il nome UNC4393, hanno rivelato che il gruppo ha iniziato a fare affidamento su altre reti per la distribuzione di malware, tra cui malware come DarkGate. Questa transizione ha segnato un cambiamento significativo nella loro strategia, mettendo in risalto la loro abilità di superare gli ostacoli imposti dalla forza pubblica.
Nuovi metodi d’accesso
Un’ulteriore evoluzione nelle tattiche di Black Basta è stata osservata nell’adozione di SilentNight, un malware backdoor che viene distribuito attraverso malvertising, abbandonando così la tecnica di phishing come metodo primario per ottenere accesso iniziale. L’adattamento alle tecnologie più recenti, insieme alla rapida evoluzione delle loro strategie, suggerisce che il gruppo è impegnato in una costante ricerca di innovazione nei metodi di attacco.
Il ciclo di vita degli attacchi di Black Basta
Fasi di un attacco tipico
Nel 2024, UNC4393 ha iniziato a mostrare operazioni sofisticate, utilizzando un dropper personalizzato chiamato DawnCry, che avvia una serie di infezioni a più stadi. Questo processo è culminato con l’impiego di DaveShell, che ha condotto al tunneler PortYard. Quest’ultimo strumento, specificamente progettato, ha la funzione di stabilire connessioni con l’infrastruttura di comando e controllo di Black Basta e di fungere da proxy per il traffico.
Strumenti personalizzati in azione
Il repertorio di Black Basta non si limita a strumenti di attacco altamente specializzati, ma include anche una serie di altri strumenti personalizzati utilizzati in operazioni recenti. Tra questi, CogScan, un tool di riconoscimento basato su .NET, consente di raccogliere informazioni sui sistemi della rete target, mentre SystemBC agisce da tunneler per recuperare comandi proxy da un server C2. Inoltre, KnockTrock e KnowTrap sono utilità .NET che consentono l’esecuzione del ransomware e la creazione di collegamenti simbolici su risorse di rete.
Con un repertorio che include anche strumenti “living off the land”, Black Basta continua a sfruttare binari e tool disponibili per il download, tra cui il noto comando certutil di Windows e l’utilità Rclone per l’exfiltrazione dei dati. La continua evoluzione delle tecniche e strumenti usati da Black Basta mette in evidenza la loro capacità di rimanere un attore temuto nel panorama globale della cybersecurity, rendendoli una minaccia significativa che continua a sfidare le difese digitali nel mondo intero.