Black Basta Ransomware guadagna terreno

I ricercatori della società di sicurezza Cybereason hanno pubblicato un rapporto su un nuovo ceppo di ransomware che è stato messo in circolazione negli ultimi mesi ma è già riuscito a segnare quasi 50 vittime nei paesi di lingua inglese, inclusi Stati Uniti, Regno Unito, Australia e Nuova Zelanda.

Questa rapida ascesa all'infamia ha richiesto solo due mesi alla banda di ransomware Black Basta, che ha messo il loro nome sotto i riflettori dei ricercatori di sicurezza.

La banda di ransomware offre il ransomware Black Basta su base RaaS. Lo strumento dannoso è stato pubblicizzato sui forum del dark web utilizzando il tipico modello di ransomware-as-a-service, offrendo un piano di condivisione degli utili per gli "affiliati" che sferrano attacchi utilizzando il ransomware.

La modalità operativa utilizzata da Black Basta è quella utilizzata anche dalla maggior parte delle bande di ransomware: doppia estorsione consistente nel bloccare i file crittografati e nell'esfiltrarne alcuni prima della crittografia, da utilizzare come ricatto e minacciare la fuga di informazioni sensibili.

Gli attacchi culminati con l'implementazione di Black Basta hanno utilizzato QBot per esfiltrare le credenziali dai sistemi compromessi, quindi spostarsi lateralmente attraverso la rete della vittima per distribuire infine il ransomware sul maggior numero possibile di host. Il ransomware ha anche una variante realizzata per prendere di mira i sistemi Linux, in particolare le istanze virtuali ESXi distribuite sui server aziendali.

I ricercatori della sicurezza ritengono che la banda di Black Basta sia composta da ex membri della banda di Conti, anche se Conti lo ha negato. Anche se Conti sta facendo del suo meglio per far credere al mondo che il ransomware non esiste più, i ricercatori pensano che mentre l'entità che era Conti potrebbe non esistere più, frammenti della squadra si sono trasferiti in altre bande di criminali informatici.