Black Basta: Η all-star συμμορία ransomware

Μια νέα ομάδα που επαγγέλλονται ransomware-ists, με το όνομα Black Basta, έχει κινήσει το ενδιαφέρον στο ransomware. Σχηματίστηκε τον Απρίλιο του 2022 και πιστεύεται ότι αποτελείται από πρώην μέλη των Conti και REvil.

Τα ευρήματα, που κυκλοφόρησαν από την εταιρεία XDR Cybereason, περιγράφουν λεπτομερώς τις δραστηριότητες αυτής της νέας συμμορίας, μαζί με τρόπους με τους οποίους τόσο εταιρείες όσο και άτομα, μπορούν να δοκιμάσουν να παραμείνουν ασφαλείς έναντι των δραστηριοτήτων της νέας ομάδας.

Ήδη, η συνεργασία αυτή των haker έχει θυματοποιήσει 50 οργανισμούς στις Ηνωμένες Πολιτείες, το Ηνωμένο Βασίλειο, την Αυστραλία, τη Νέα Ζηλανδία και τον Καναδά, παρά το μικρό χρονικό διάστημα που βρίσκεται σε ενεργό δράση.

Το ransomware που χρησιμοποιεί η Black Basta είναι νέο, σύμφωνα με την Cybereason, και χρησιμοποιεί τεχνικές διπλής εκβίασης. Η συμμορία κλέβει τα αρχεία ενός οργανισμού-θύματος και στη συνέχεια, απειλεί να δημοσιεύσει τα κλεμμένα αρχεία, εάν δεν ικανοποιηθούν τα αιτήματα για λύτρα. Η ομάδα φέρεται να απαιτούσε έως και εκατομμύρια δολάρια από τα θύματά της για να μη δημοσιοποιήσει τα κλεμμένα δεδομένα, σύμφωνα με τη Cybereason.

Η ίδια η επίθεση πραγματοποιείται με χρήση του κακόβουλου λογισμικό QBot, το οποίο απλοποιεί τη διαδικασία ransomware για ομάδες όπως η Black Basta, επιτρέποντας την ευκολότερη αναγνώριση κατά τη συλλογή δεδομένων για τον στόχο. Μετά από αρκετή παρακολούθηση, η συμμορία στοχεύει τον Domain Controller και κινείται πλευρικά χρησιμοποιώντας το PsExec.

Στη συνέχεια, ο επιτιθέμενος απενεργοποιεί το Windows Defender και οποιοδήποτε άλλο λογισμικό προστασίας από ιούς μέσω της χρήσης ενός παραβιασμένου Group Policy Object. Μόλις απενεργοποιηθεί κάθε λογισμικό άμυνας, το Black Basta αναπτύσσει το ransomware χρησιμοποιώντας μια κωδικοποιημένη εντολή PowerShell, που αξιοποιεί το Windows Management Instrumentation για να προωθήσει το ransomware σε διευθύνσεις IP που καθορίζονται από την ομάδα.

Πώς μπορούν οι οργανισμοί να προστατευτούν από αυτό το ransomware;

Η χρήση αρχιτεκτονικής μηδενικής εμπιστοσύνης (zero trust) μπορεί να βοηθήσει στην αποτροπή αυτού του τύπου επιθέσεων. Με το να μην υπάρχει εμπιστοσύνη για κανένα αρχείο ή σύνδεσμο έως ότου επαληθευτεί πλήρως ότι είναι νόμιμο, οι επιχειρήσεις και οι υπάλληλοί τους μπορούν να εξοικονομήσουν πολύ χρόνο, χρήμα και μπελάδες. Επιπλέον, η διασφάλιση ότι τα patch του συστήματος είναι περασμένα, μπορεί να βοηθήσει και σε αυτή τη διαδικασία. Είναι διαπιστωμένο ότι ομάδες ransomware εκμεταλλεύονται ευπάθειες σε μια σειρά απαρχαιωμένων στοιχείων λογισμικού, όπως η εκμετάλλευση του Windows Print Spooler που παρατηρήθηκε τον Μάιο του 2021. Τέλος, το λογισμικό antivirus πρέπει να είναι επίσης ενημερωμένο.

Του Στάθη Ασπιώτη