A Black Basta, uma operação de ransomware como serviço (RaaS), tem mirado em mais de 500 setores privados e entidades de infraestrutura crítica na América do Norte, Europa e Austrália desde que apareceu em cena em abril de 2022.
Um comunicado conjunto emitido pela Agência de Segurança Cibernética e de Infraestrutura (CISA), pelo Federal Bureau of Investigation (FBI), pelo Departamento de Saúde e Serviços Humanos (HHS) e pelo Centro Multiestadual de Compartilhamento e Análise de Informações (MS-ISAC) revelou que os agentes de ameaça conseguiram criptografar e roubar dados de pelo menos 12 dos 16 setores de infraestrutura crítica.
Os afiliados da Black Basta empregam técnicas de acesso inicial comuns, como phishing e exploração de vulnerabilidades conhecidas, e seguem um modelo de dupla extorsão, criptografando sistemas e exfiltrando dados, conforme mencionado no comunicado.
Diferentemente de outros grupos de ransomware, as notas de resgate que a Black Basta emite no final do ataque não contêm um pedido de resgate inicial ou instruções de pagamento. Em vez disso, as notas fornecem um código único às vítimas e as orientam a entrar em contato com o grupo por meio de um URL .onion.
Black Basta
A Black Basta foi vista pela primeira vez em abril de 2022, usando QakBot como vetor inicial, e tem se mantido como um ator de ransomware muito ativo desde então.
De acordo com estatísticas coletadas pela Malwarebytes, o grupo esteve envolvido em 28 dos 373 ataques de ransomware confirmados que ocorreram em abril de 2024. A Kaspersky classificou a Black Basta como a 12ª família mais ativa em 2023. Além disso, a Black Basta viu um aumento na atividade no primeiro trimestre de 2024, com um aumento de 41% em relação ao trimestre anterior.
Existem indícios que apontam para uma conexão entre os operadores do Black Basta e outro grupo de crimes cibernéticos conhecido como FIN7, que começou a realizar ataques de ransomware a partir de 2020.
As cadeias de ataque que envolvem o ransomware utilizam ferramentas como o scanner de rede SoftPerfect para verificação de rede, BITSAdmin, beacons Cobalt Strike, ConnectWise ScreenConnect e PsExec para movimentação lateral, Mimikatz para escalonamento de privilégios e RClone para exfiltração de dados antes da criptografia.
Para obter privilégios elevados, são exploradas vulnerabilidades de segurança como ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278 e CVE-2021-42287) e PrintNightmare (CVE-2021-34527).
Em alguns casos, também foi observada a implantação de uma ferramenta chamada Backstab para desativar o software de detecção e resposta de endpoint (EDR). Vale ressaltar que o Backstab já foi usado anteriormente por afiliados da LockBit.
A etapa final consiste na criptografia de arquivos usando o algoritmo ChaCha20 com uma chave pública RSA-4096, mas não antes de excluir as cópias de sombra de volume por meio do programa vssadmin.exe para impedir a recuperação do sistema.
As agências afirmaram que “as organizações de saúde são alvos atraentes para os atores do crime cibernético devido ao seu tamanho, dependência tecnológica, acesso a informações pessoais de saúde e impactos únicos das interrupções no atendimento aos pacientes”.
Esse desenvolvimento acontece enquanto uma campanha de ransomware chamada CACTUS continua a explorar vulnerabilidades de segurança em uma plataforma de análise de nuvem e inteligência de negócios chamada Qlik Sense para obter acesso inicial aos ambientes alvo.
Uma análise recente da equipe Fox-IT do Grupo NCC revelou que 3.143 servidores ainda estão em risco de CVE-2023-48365 (também conhecido como DoubleQlik), com a maioria deles localizados nos EUA, Itália, Brasil, Holanda e Alemanha, até 17 de abril de 2024.
O cenário do ransomware está sempre mudando, registrando uma queda de 18% na atividade no primeiro trimestre de 2024 em comparação com o trimestre anterior, principalmente devido às operações de aplicação da lei contra ALPHV (também conhecido como BlackCat) e LockBit.
Com a reputação do LockBit sofrendo reveses significativos entre os afiliados, suspeita-se que o grupo provavelmente tentará mudar a marca. A empresa de segurança cibernética ReliaQuest afirmou que “o grupo de ransomware DarkVault é um possível sucessor do LockBit”, citando semelhanças com a marca LockBit.
Nas últimas semanas, surgiram novos grupos de ransomware, incluindo APT73, DoNex, DragonForce, Hunt (uma variante do ransomware Dharma/Crysis), KageNoHitobito, Megazord, Qiulong, Rincrypt e Shinra.
A Chainalysis, uma empresa de análise de blockchain, destacou a “diversificação” das cepas de ransomware e a “capacidade de se adaptar e reformular rapidamente a marca diante da adversidade”, o que demonstra a natureza resiliente e dinâmica dos atores de ameaças no ecossistema de ransomware. Isso é evidenciado por uma redução de 46% nos pagamentos de resgate em 2023.
Essas descobertas são corroboradas pela Coveware, uma empresa da Veeam, que relatou que a proporção de vítimas que escolheram pagar atingiu um novo recorde de 28% no primeiro trimestre de 2024. O pagamento médio de resgate durante esse período foi de US$ 381.980, uma queda de 32% em relação ao quarto trimestre de 2023.
Segundo o relatório “Sophos State of Ransomware 2024”, divulgado recentemente e que pesquisou 5.000 organizações em todo o mundo, um número significativo de vítimas se recusou a pagar o valor inicial exigido.
A empresa revelou que “1.097 entrevistados cuja organização pagou o resgate compartilharam o valor real pago, mostrando que o pagamento médio (mediano) aumentou 5 vezes no último ano, de US$ 400.000 para US$ 2 milhões”.
Apesar do aumento na taxa de pagamento de resgate, apenas 24% dos entrevistados afirmaram que o pagamento correspondia ao pedido original. 44% pagaram menos do que o pedido original, enquanto 31% pagaram mais.
4 thoughts on “Black Basta Ransomware tem como alvo mais de 500 indústrias privadas”
Comments are closed.