A operação Black Basta ransomware-as-a-service (RaaS) tem como alvo mais de 500 entidades do setor privado e infraestrutura crítica na América do Norte, Europa e Austrália desde sua emergência em abril de 2022.
Em um aviso conjunto publicado pela Cybersecurity and Infrastructure Security Agency (CISA), pelo Federal Bureau of Investigation (FBI), pelo Departamento de Saúde e Serviços Humanos (HHS) e pelo Multi-State Information Sharing and Analysis Center (MS-ISAC), as agências afirmaram que os atores de ameaças criptografaram e roubaram dados de pelo menos 12 dos 16 setores de infraestrutura crítica. Os afiliados da Black Basta usam técnicas comuns de acesso inicial, como phishing e exploração de vulnerabilidades conhecidas, e, em seguida, empregam um modelo de dupla extorsão, criptografando sistemas e extraindo dados.
Ao contrário de outros grupos de ransomware, as notas de resgate deixadas no final do ataque não contêm uma demanda de resgate inicial ou instruções de pagamento. Em vez disso, as notas fornecem às vítimas um código exclusivo e as instruem a entrar em contato com a gangue via URL .onion.
A Black Basta foi observada pela primeira vez em abril de 2022 usando o QakBot como vetor inicial e tem sido uma ator de ransomware altamente ativo desde então. Estatísticas coletadas pela Malwarebytes mostram que o grupo esteve envolvido em 28 dos 373 ataques de ransomware confirmados que ocorreram em abril de 2024. De acordo com a Kaspersky, foi a 12ª família mais ativa em 2023. A Black Basta também testemunhou um aumento na atividade no primeiro trimestre de 2024, com um aumento de 41% em relação ao trimestre anterior.
Há evidências que sugerem que os operadores da Black Basta têm laços com outro grupo de cibercrime rastreado como FIN7, que passou a realizar ataques de ransomware desde 2020.
As cadeias de ataques envolvendo o ransomware têm dependido de ferramentas como scanner de rede SoftPerfect para varredura de rede, BITSAdmin, beacon de Cobalt Strike, ConnectWise ScreenConnect e PsExec para movimentação lateral, Mimikatz para escalonamento de privilégios e RClone para exfiltração de dados antes da criptografia.
Outros métodos usados para obter privilégios elevados incluem a exploração de falhas de segurança como ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278 e CVE-2021-42287) e PrintNightmare (CVE-2021-34527).
Alguns casos também envolveram o uso de uma ferramenta chamada Backstab para desabilitar o software de detecção e resposta de endpoint (EDR). Vale ressaltar que o Backstab também foi utilizado por afiliados do LockBit no passado.
A etapa final envolve a criptografia de arquivos usando um algoritmo ChaCha20 com uma chave pública RSA-4096, mas não antes de excluir cópias de sombra de volume via o programa vssadmin.exe para inibir a recuperação do sistema.
“As organizações de saúde são alvos atraentes para os atores de cibercrime devido ao seu tamanho, dependência tecnológica, acesso a informações de saúde pessoais e impactos únicos resultantes de interrupções nos cuidados aos pacientes”, disseram as agências.
O desenvolvimento acontece enquanto uma campanha de ransomware CACTUS continua a explorar falhas de segurança em uma plataforma de análise em nuvem e inteligência de negócios chamada Qlik Sense para obter acesso inicial aos ambientes-alvo.
Uma nova análise da equipe Fox-IT da NCC Group revelou que 3.143 servidores ainda estão em risco de CVE-2023-48365 (também conhecido como DoubleQlik), a maioria deles localizada nos EUA, Itália, Brasil, Holanda e Alemanha até 17 de abril de 2024.
O cenário de ransomware está em estado de fluxo, registrando uma queda de 18% na atividade no primeiro trimestre de 2024 em comparação com o trimestre anterior, liderado principalmente por operações de aplicação da lei contra ALPHV (também conhecido como BlackCat) e LockBit.
Com o LockBit sofrendo significativos contratempos de reputação entre os afiliados, suspeita-se que o grupo tentará provavelmente mudar de marca. O grupo DarkVault ransomware é um possível sucessor do LockBit”, disse a empresa de segurança cibernética ReliaQuest, citando semelhanças com a marca do LockBit.
Alguns dos novos grupos de ransomware que apareceram nas últimas semanas incluem APT73, DoNex, DragonForce, Hunt (uma variante de ransomware Dharma/Crysis), KageNoHitobito, Megazord, Qiulong, Rincrypt e Shinra.
“A ‘diversificação’ das cepas de ransomware e a capacidade de se adaptarem rapidamente e mudar de marca diante da adversidade refletem a natureza dinâmica e resiliente dos atores de ameaças no ecossistema de ransomware”, disse a empresa de análise de blockchain Chainalysis, destacando uma redução de 46% nos pagamentos de resgate em 2023.
Isso é corroborado por descobertas da Coveware, uma empresa pertencente à Veeam, que afirmou que a proporção de vítimas que optaram por pagar atingiu um novo recorde baixo de 28% no primeiro trimestre de 2024. O pagamento médio de resgate para o período de tempo foi de US$ 381.980, uma queda de 32% em relação ao quarto trimestre de 2023.
A queda foi complementada ainda mais pelo aumento do número de vítimas que se recusaram a pagar o valor inicial demandado, de acordo com uma pesquisa global com 5.000 organizações realizada como parte do relatório Sophos State of Ransomware 2024 divulgado no mês passado.
“1.097 respondentes cuja organização pagou o resgate compartilharam a soma real paga, revelando que o pagamento médio (mediana) aumentou 5 vezes ao longo do último ano, de US$ 400.000 para US$ 2 milhões”, disse a empresa.
“Embora a taxa de pagamento de resgate tenha aumentado, apenas 24% dos respondentes dizem que seu pagamento correspondeu à solicitação original. 44% pagaram menos do que a demanda original, enquanto 31% pagaram mais.”