Il sindacato Black Basta ransomware-as-a-service (RaaS) ha accumulato quasi 50 vittime negli Stati Uniti, in Canada, negli Stati Uniti, in Australia e in Nuova Zelanda entro due mesi dalla sua comparsa in natura, rendendolo un eccezionale rischio in una breve finestra.
“Black Basta è stato notato concentrandosi su una vasta gamma di settori, insieme a produzione, sviluppo, trasporti, telecomunicazioni, farmaci prescritti, cosmetici, impianti idraulici e riscaldamento, venditori di veicoli, produttori di biancheria intima e altro”, Cybereason disse in un rapporto.
Proprio come diverse operazioni di ransomware, Black Basta utilizza la tattica collaudata della doppia estorsione per saccheggiare informazioni delicate dagli obiettivi e minacciare di pubblicare le informazioni rubate a meno che non venga effettuato un costo digitale.
Un nuovo arrivato nel già affollato panorama dei ransomware, le intrusioni che comportano il rischio hanno QBot con leva (aka Qakbot) come canale per prendersi cura della persistenza sugli host compromessi e raccogliere le credenziali, prima del trasferimento laterale all’interno della community e della distribuzione del malware di crittografia dei file.
Inoltre, gli attori dietro Black Basta hanno sviluppato una variante Linux progettata per colpire le macchine digitali (VM) VMware ESXi che lavorano su server aziendali, mettendola alla pari con diversi team simili a LockBit, Hive e Cheerscrypt.
I risultati arrivano perché il sindacato di criminali informatici ha aggiunto Elbit Techniques of America, un produttore di opzioni di protezione, aerospaziale e sicurezza, all’elenco delle sue vittime durante il fine settimana, secondo al ricercatore sulla sicurezza Ido Cohen.
Si presume che Black Basta sia composto da membri appartenenti al Gruppo Conti dopo quest’ultimo chiuso le sue operazioni in risposta a un controllo elevato dell’applicazione della legislazione e a una grave fuga di notizie che ha notato che i suoi strumenti e le sue tecniche sono entrati nell’area pubblica in generale dopo essersi schierati con la Russia nel conflitto della nazione nei confronti dell’Ucraina.
“Non posso sparare a qualcosa, tuttavia posso combattere con tastiera e mouse”, ha consigliato lo specialista di PC ucraino dietro la fuga di notizie, che si fa chiamare Danylo e ha lanciato il tesoro della conoscenza come una sorta di punizione digitale CNN nel marzo 2022.
Da allora lo staff di Conti ha confutato che sia imparentato con Black Basta. L’ultima settimana, ecco dismesso l’ultima della sua restante infrastruttura rivolta al pubblico, insieme a due server Tor utilizzati per divulgare informazioni e negoziare con le vittime, segnando la fine ufficiale dell’impresa criminale.
Nel frattempo, il gruppo ha continuato a curare la facciata di un’energica operazione di prendendo di mira il governo costaricanomentre alcuni membri sono passati a diversi ransomware e il modello ha subito un rinnovamento organizzativo che lo ha visto trasformarsi in sottogruppi più piccoli con motivazioni e mode aziendali totalmente diverse, a partire dal furto di conoscenza fino al lavoro come associati imparziali.
Basato su a rapporto completo da Group-IB che descrive in dettaglio le sue azioni, si ritiene che il gruppo Conti abbia vittimizzato più di 850 entità perché è stato notato per la prima volta nel febbraio 2020, compromettendo oltre 40 organizzazioni in tutto il mondo come parte di una follia di hacking “fulminea” durata da novembre dal 17 al 20 dicembre 2021.
Soprannominato “ARMattacco” dall’azienda con sede a Singapore, le intrusioni erano state dirette principalmente verso organizzazioni statunitensi (37%), adottate da Germania (3%), Svizzera (2%), Emirati Arabi Uniti (2%), Paesi Bassi, Spagna, Francia, Repubblica Ceca, Svezia, Danimarca e India (1% ciascuno).
I 5 settori più elevati tradizionalmente focalizzati da Conti sono stati manifatturiero (14%), immobili (11,1%), logistica (8,2%), aziende specializzate (7,1%) e commercio (5,5%), con gli operatori che individuano in particolare le società negli Stati Uniti (58,4%), Canada (7%), l’U.Okay. (6,6%), Germania (5,8%), Francia (3,9%) e Italia (3,1%).
“L’esercizio elevato di Conti e la fuga di informazioni consigliano che il ransomware non è uno sport tra i comuni costruttori di malware, ma un commercio RaaS di contrabbando che offre lavoro a un intero gruppo di criminali informatici in tutto il mondo con varie specializzazioni”, ha affermato Ivan Pisarev di Group-IB.
“Su questo commercio, Conti è un famigerato partecipante che ha la verità è stata creata una ‘azienda IT’ il cui obiettivo è estorcere ingenti somme. È chiaro […] che il gruppo proseguirà le sue operazioni, sia da solo che con l’assistenza dei suoi compiti “sussidiari”.