A operação Black Basta ransomware-as-a-service (RaaS) tem como alvo mais de 500 entidades da indústria privada e infraestrutura crítica na América do Norte, Europa e Austrália desde sua aparição em abril de 2022.

Em um aviso conjunto publicado pela Agência de Segurança Cibernética e Infraestrutura (CISA), o Departamento Federal de Investigação (FBI), o Departamento de Saúde e Serviços Humanos (HHS) e o Centro de Compartilhamento e Análise de Informações Multiestaduais (MS-ISAC), as agências disseram que os atores de ameaça criptografaram e roubaram dados de pelo menos 12 dos 16 setores de infraestrutura crítica.

“Os afiliados do Black Basta usam técnicas comuns de acesso inicial, como phishing e exploração de vulnerabilidades conhecidas, e depois empregam um modelo de dupla extorsão, tanto criptografando sistemas quanto exfiltrando dados,” diz o boletim.

Ao contrário de outros grupos de ransomware, as notas de resgate deixadas no final do ataque não contêm uma demanda de resgate inicial ou instruções de pagamento. Em vez disso, as notas fornecem às vítimas um código único e as instruem a entrar em contato com o grupo via uma URL .onion.

O Black Basta foi observado pela primeira vez em abril de 2022 na natureza usando o QakBot como vetor inicial, e desde então tem sido um ator de ransomware altamente ativo.

Estatísticas coletadas pela Malwarebytes mostram que o grupo está ligado a 28 dos 373 ataques de ransomware confirmados que ocorreram em abril de 2024. De acordo com a Kaspersky, foi a 12ª família mais ativa em 2023. O Black Basta também viu um aumento na atividade no primeiro trimestre de 2024, aumentando 41% em relação ao trimestre anterior.

Há evidências que sugerem que os operadores do Black Basta têm ligações com outro grupo de cybercrime rastreado como FIN7, que mudou para realizar ataques de ransomware desde 2020.

As cadeias de ataque envolvendo o ransomware dependem de ferramentas como scanner de rede SoftPerfect para varredura de rede, BITSAdmin, beacons Cobalt Strike, ConnectWise ScreenConnect e PsExec para movimentação lateral, Mimikatz para escalonamento de privilégio e RClone para exfiltração de dados antes da criptografia.

Outros métodos utilizados para obter privilégios elevados incluem a exploração de falhas de segurança como ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278 e CVE-2021-42287) e PrintNightmare (CVE-2021-34527).

Alguns casos também envolvem a implantação de uma ferramenta chamada Backstab para desabilitar software de detecção e resposta de endpoint (EDR). Vale ressaltar que Backstab também foi usado por afiliados do LockBit no passado.

O último passo envolve a criptografia de arquivos usando um algoritmo ChaCha20 com uma chave pública RSA-4096, mas não antes de excluir cópias de sombra de volume via o programa vssadmin.exe para inibir a recuperação do sistema.

“As organizações de saúde são alvos atraentes para atores de cibercrime devido ao tamanho, dependência tecnológica, acesso a informações de saúde pessoal e impactos únicos causados por interrupções no atendimento aos pacientes,” afirmaram as agências.

Isso ocorre à medida que uma campanha de ransomware CACTUS continua a explorar falhas de segurança em uma plataforma de análise em nuvem e inteligência de negócios chamada Qlik Sense para obter acesso inicial aos ambientes-alvo.

Uma nova análise da equipe Fox-IT da NCC Group revelou que 3.143 servidores ainda estão em risco de CVE-2023-48365 (também conhecido como DoubleQlik), com a maioria deles localizados nos EUA, Itália, Brasil, Holanda e Alemanha até 17 de abril de 2024.

O cenário de ransomware está em estado de fluxo, registrando uma queda de 18% na atividade no primeiro trimestre de 2024 em comparação com o trimestre anterior, principalmente liderada por operações policiais contra ALPHV (também conhecido como BlackCat) e LockBit.

Com o LockBit sofrendo grandes contratempos de reputação entre os afiliados, suspeita-se que o grupo tentará, provavelmente, uma mudança de marca. “O grupo DarkVault ransomware é um possível sucessor do LockBit,” afirmou a empresa de segurança cibernética ReliaQuest, citando similaridades com a marca do LockBit.

Alguns dos novos grupos de ransomware que surgiram nas últimas semanas incluem APT73, DoNex, DragonForce, Hunt (uma variante de ransomware Dharma/Crysis), KageNoHitobito, Megazord, Qiulong, Rincrypt e Shinra.

“A ‘diversificação’ de cepas de ransomware e ‘a capacidade de se adaptar rapidamente e mudar de marca face à adversidade destacam a natureza dinâmica e resiliente dos atores de ameaça no ecossistema de ransomware,” disse a empresa de análise de blockchain Chainalysis, destacando uma redução de 46% nos pagamentos de resgates em 2023.

Isso é corroborado por descobertas da Coveware, subsidiária da Veeam, que afirmou que a proporção de vítimas que optaram por pagar atingiu um novo recorde baixo de 28% no primeiro trimestre de 2024. O pagamento médio de resgate para o período foi de US$381.980, uma queda de 32% em relação ao quarto trimestre de 2023.

A queda foi complementada ainda mais pelo aumento no número de vítimas que se recusaram a pagar a quantia inicial exigida, de acordo com uma pesquisa global com 5.000 organizações realizada como parte do relatório Sophos State of Ransomware 2024 divulgado no mês passado.

“1.097 respondentes cuja organização pagou o resgate compartilharam a quantia real paga, revelando que o pagamento médio aumentou 5 vezes ao longo do último ano, passando de US$400.000 para US$2 milhões”, disse a empresa.

“Embora a taxa de pagamentos de resgate tenha aumentado, apenas 24% dos respondentes afirmam que seu pagamento correspondeu à solicitação original. 44% pagaram menos do que a demanda original, enquanto 31% pagaram mais.”