A operação Black Basta ransomware-as-a-service (RaaS) tem como alvo mais de 500 entidades da indústria privada e infraestrutura crítica na América do Norte, Europa e Austrália desde sua emergência em abril de 2022.
De acordo com um comunicado conjunto publicado pela Agência de Segurança e Infraestrutura Cibernética (CISA), o Federal Bureau of Investigation (FBI), o Departamento de Saúde e Serviços Humanos (HHS) e o Centro de Análise e Compartilhamento de Informações em Vários Estados (MS-ISAC), os atores ameaçadores criptografaram e roubaram dados de pelo menos 12 dos 16 setores de infraestrutura crítica.
“Os afiliados do Black Basta utilizam técnicas comuns de acesso inicial, como phishing e exploração de vulnerabilidades conhecidas, e depois empregam um modelo de dupla extorsão, criptografando sistemas e exfiltrando dados”, diz o boletim.
Ao contrário de outros grupos de ransomware, as notas de resgate deixadas no final do ataque não contêm uma demanda inicial de resgate ou instruções de pagamento. Em vez disso, as notas fornecem às vítimas um código único e instruem a entrar em contato com o grupo por meio de um URL .onion.
O Black Basta foi observado pela primeira vez em abril de 2022 usando o QakBot como vetor inicial e tem sido um ator de ransomware altamente ativo desde então.
Estatísticas coletadas pela Malwarebytes mostram que o grupo está ligado a 28 dos 373 ataques de ransomware confirmados que ocorreram em abril de 2024. Segundo a Kaspersky, foi a 12ª família mais ativa em 2023. O Black Basta também testemunhou um aumento na atividade no primeiro trimestre de 2024, subindo 41% em relação ao trimestre anterior.
Há evidências que sugerem que os operadores do Black Basta têm laços com outro grupo de cibercrime rastreado como FIN7, que mudou para a realização de ataques de ransomware desde 2020.
Cadeias de ataques envolvendo o ransomware têm contado com ferramentas como scanner de rede SoftPerfect para varredura de rede, BITSAdmin, beacons Cobalt Strike, ConnectWise ScreenConnect e PsExec para movimentação lateral, Mimikatz para escalonamento de privilégios e RClone para exfiltração de dados antes da criptografia.
Outros métodos usados para obter privilégios elevados incluem a exploração de falhas de segurança como ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278 e CVE-2021-42287) e PrintNightmare (CVE-2021-34527).
Em certas instâncias, também foi utilizado uma ferramenta chamada Backstab para desativar software de detecção e resposta de endpoint (EDR). Vale ressaltar que o Backstab também foi empregado por afiliados do LockBit no passado.
O passo final envolve a criptografia de arquivos usando um algoritmo ChaCha20 com uma chave pública RSA-4096, mas não antes de excluir cópias de sombra de volume por meio do programa vssadmin.exe para inibir a recuperação do sistema.
“As organizações de saúde são alvos atraentes para atores de cibercrime devido ao seu tamanho, dependência tecnológica, acesso a informações pessoais de saúde e impacto único de interrupções no cuidado ao paciente”, disseram as agências.
A evolução vem em meio a uma campanha de ransomware CACTUS que continua a explorar falhas de segurança em uma plataforma de análise de nuvem e inteligência de negócios chamada Qlik Sense para obter acesso inicial a ambientes-alvo.
Uma nova análise da equipe Fox-IT da NCC Group revelou que 3.143 servidores ainda estão em risco de CVE-2023-48365 (chamado de DoubleQlik), com a maioria deles localizados nos EUA, Itália, Brasil, Holanda e Alemanha até 17 de abril de 2024.
O cenário de ransomware está em estado de fluxo, registrando uma queda de 18% na atividade no primeiro trimestre de 2024 em comparação com o trimestre anterior, principalmente liderada por operações de aplicação da lei contra ALPHV (também conhecido como BlackCat) e LockBit.
Com o LockBit sofrendo graves contratempos de reputação entre os afiliados, suspeita-se que o grupo tentará provavelmente mudar de marca. “O grupo DarkVault ransomware é um possível grupo sucessor do LockBit”, disse a empresa de cibersegurança ReliaQuest, citando semelhanças com a marca do LockBit.
Outros novos grupos de ransomware que fizeram sua aparição nas últimas semanas incluem APT73, DoNex, DragonForce, Hunt (uma variante de ransomware Dharma/Crysis), KageNoHitobito, Megazord, Qiulong, Rincrypt e Shinra.
“A ‘diversificação’ de cepas de ransomware e ‘a capacidade de se adaptar rapidamente e mudar de marca frente à adversidade fala da natureza dinâmica e resiliente dos atores de ameaças no ecossistema de ransomware”, disse a empresa de análise de blockchain Chainalysis, destacando uma queda de 46% nos pagamentos de resgates em 2023.
Isso é corroborado por descobertas da Coveware, que disse que a proporção de vítimas que optaram por pagar atingiu uma nova mínima histórica de 28% no primeiro trimestre de 2024. O pagamento médio de resgate para o período de tempo foi de US$ 381.980, uma queda de 32% em relação ao quarto trimestre de 2023.
A queda foi complementada pelos próprios dados das vítimas, que estão cada vez mais se recusando a pagar o valor inicial exigido, de acordo com uma pesquisa global com 5.000 organizações realizada como parte do relatório Sophos State of Ransomware 2024 divulgado no mês passado.
“1.097 respondentes cuja organização pagou o resgate compartilharam o valor real pago, revelando que o pagamento médio aumentou 5 vezes ao longo do último ano, passando de US$ 400.000 para US$ 2 milhões”, disse a empresa.
“Enquanto a taxa de pagamento de resgates aumentou, apenas 24% dos respondentes dizem que seu pagamento correspondeu à solicitação original. 44% pagaram menos do que a demanda original, enquanto 31% pagaram mais.”
