A operação Black Basta de ransomware como serviço (RaaS) tem como alvo mais de 500 indústrias privadas e entidades de infraestrutura crítica na América do Norte, Europa e Austrália desde seu surgimento em abril de 2022.
Em um comunicado conjunto publicado pela Agência de Segurança Cibernética e de Infraestrutura (CISA), pelo Federal Bureau of Investigation (FBI), pelo Departamento de Saúde e Serviços Humanos (HHS) e pelo Centro Multiestadual de Compartilhamento e Análise de Informações (MS-ISAC ), as agências disseram que os agentes da ameaça criptografaram e roubaram dados de pelo menos 12 dos 16 setores de infraestrutura crítica.
“Os afiliados da Black Basta usam técnicas comuns de acesso inicial – como phishing e exploração de vulnerabilidades conhecidas – e depois empregam um modelo de dupla extorsão, criptografando sistemas e exfiltrando dados”, dizia o boletim.
Ao contrário de outros grupos de ransomware, as notas de resgate lançadas no closing do ataque não contêm um pedido inicial de resgate ou instruções de pagamento. Em vez disso, as notas fornecem às vítimas um código exclusivo e as instruem a entrar em contato com a gangue por meio de um URL .onion.
Black Basta foi observado pela primeira vez na natureza em abril de 2022 usando QakBot como vetor inicial, e tem permanecido um ator de ransomware altamente ativo desde então.
Estatísticas recolhidas pela Malwarebytes mostram que o grupo esteve ligado a 28 dos 373 ataques de ransomware confirmados que ocorreram em abril de 2024. Segundo a Kaspersky, foi a 12ª família mais ativa em 2023. Black Basta também testemunhou um aumento na atividade em Primeiro trimestre de 2024, aumentando 41% em relação ao trimestre anterior.
Há evidências que sugerem que os operadores do Black Basta têm ligações com outro grupo de crimes cibernéticos rastreado como FIN7, que passou a conduzir ataques de ransomware desde 2020.
As cadeias de ataque envolvendo o ransomware contam com ferramentas como o scanner de rede SoftPerfect para verificação de rede, BITSAdmin, beacons Cobalt Strike, ConnectWise ScreenConnect e PsExec para movimento lateral, Mimikatz para escalonamento de privilégios e RClone para exfiltração de dados antes da criptografia.
Outros métodos usados para obter privilégios elevados incluem a exploração de falhas de segurança como ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278 e CVE-2021-42287) e PrintNightmare (CVE-2021-34527).
Instâncias selecionadas também envolveram a implantação de uma ferramenta chamada Backstab para desativar o software program de detecção e resposta de endpoint (EDR). É importante notar que o Backstab também foi empregado por afiliados da LockBit no passado.
A etapa closing envolve a criptografia de arquivos usando um algoritmo ChaCha20 com uma chave pública RSA-4096, mas não antes de excluir cópias de sombra de quantity por meio do programa vssadmin.exe para inibir a recuperação do sistema.
“As organizações de saúde são alvos atraentes para os atores do crime cibernético devido ao seu tamanho, dependência tecnológica, acesso a informações pessoais de saúde e impactos únicos das interrupções no atendimento aos pacientes”, afirmaram as agências.
O desenvolvimento ocorre no momento em que uma campanha de ransomware CACTUS continua a explorar falhas de segurança em uma plataforma de análise de nuvem e inteligência de negócios chamada Qlik Sense para obter acesso inicial aos ambientes de destino.
Uma nova análise da equipe Fox-IT do Grupo NCC revelou que 3.143 servidores ainda correm risco de CVE-2023-48365 (também conhecido como DoubleQlik), com a maioria deles localizados nos EUA, Itália, Brasil, Holanda e Alemanha como de 17 de abril de 2024.
O cenário do ransomware está em constante mudança, registrando um declínio de 18% na atividade no primeiro trimestre de 2024 em comparação com o trimestre anterior, liderado principalmente por operações de aplicação da lei contra ALPHV (também conhecido como BlackCat) e LockBit.
Com o LockBit sofrendo reveses significativos de reputação entre os afiliados, suspeita-se que o grupo provavelmente tentará mudar a marca. “O grupo de ransomware DarkVault é um possível grupo sucessor do LockBit”, disse a empresa de segurança cibernética ReliaQuest, citando semelhanças com a marca LockBit.
Alguns dos outros novos grupos de ransomware que apareceram nas últimas semanas incluem APT73, DoNex, DragonForce, Hunt (uma variante do ransomware Dharma/Crysis), KageNoHitobito, Megazord, Qiulong, Rincrypt e Shinra.
A “diversificação” das cepas de ransomware e “a capacidade de se adaptar e reformular rapidamente a marca diante da adversidade fala da natureza dinâmica e resiliente dos atores de ameaças no ecossistema de ransomware”, disse a empresa de análise de blockchain Chainalysis, destacando uma redução de 46% nos pagamentos de resgate em 2023.
Isso é corroborado pelas descobertas da Coveware, de propriedade da Veeam, que afirmou que a proporção de vítimas que optaram por pagar atingiu um novo recorde de 28% no primeiro trimestre de 2024. O pagamento médio de resgate no período foi de US$ 381.980, uma queda de 32% em relação a 4º trimestre de 2023.
A crise foi ainda complementada pela recusa cada vez maior das vítimas em pagar o montante inicial exigido, de acordo com um inquérito world a 5.000 organizações realizado como parte do relatório Sophos State of Ransomware 2024, divulgado no mês passado.
“1.097 entrevistados cuja organização pagou o resgate compartilharam o valor actual pago, revelando que o pagamento médio (mediano) aumentou 5 vezes no último ano, de US$ 400.000 para US$ 2 milhões”, disse a empresa.
“Embora a taxa de pagamento de resgate tenha aumentado, apenas 24% dos entrevistados afirmam que o pagamento correspondeu ao pedido authentic. 44% pagaram menos do que o pedido authentic, enquanto 31% pagaram mais.”
