Black Basta Ransomware Ataca Mais de 500 Entidades em América do Norte, Europa e Austrália – Virus Killer – Recuperação de Site Invadido por Vírus e Malware

O grupo Black Basta de ransomware como serviço (RaaS) tem como alvo mais de 500 entidades da indústria privada e infraestrutura crítica na América do Norte, Europa e Austrália desde sua emergência em abril de 2022.

Em um aviso conjunto divulgado pela Cybersecurity and Infrastructure Security Agency (CISA), Federal Bureau of Investigation (FBI), Department of Health and Human Services (HHS) e Multi-State Information Sharing and Analysis Center (MS-ISAC), as agências disseram que os atores ameaçadores criptografaram e roubaram dados de pelo menos 12 dos 16 setores de infraestrutura crítica.

“Os afiliados do Black Basta usam técnicas comuns de acesso inicial, como phishing e exploração de vulnerabilidades conhecidas, e depois empregam um modelo de dupla extorsão, tanto criptografando sistemas quanto extraindo dados”, diz o boletim.

Ao contrário de outros grupos de ransomware, as notas de resgate deixadas no final do ataque não contêm uma demanda inicial de resgate ou instruções de pagamento. Em vez disso, as notas fornecem às vítimas um código exclusivo e as instruem a entrar em contato com o grupo por meio de uma URL .onion.

Black Basta foi observado pela primeira vez em abril de 2022 usando o QakBot como vetor inicial e permaneceu como um ator de ransomware altamente ativo desde então.

Estatísticas coletadas pela Malwarebytes mostram que o grupo está ligado a 28 dos 373 ataques confirmados de ransomware que ocorreram em abril de 2024. De acordo com a Kaspersky, foi a 12ª família mais ativa em 2023. O Black Basta também testemunhou um aumento de atividade no primeiro trimestre de 2024, aumentando 41% trimestre a trimestre.

Há evidências que sugerem que os operadores do Black Basta têm laços com outro grupo de cibercrime rastreado como FIN7, que mudou para realizar ataques de ransomware desde 2020.

As cadeias de ataque envolvendo o ransomware dependem de ferramentas como SoftPerfect network scanner para varredura de rede, BITSAdmin, beacons do Cobalt Strike, ConnectWise ScreenConnect e PsExec para movimentação lateral, Mimikatz para escalonamento de privilégios e RClone para exfiltração de dados antes da criptografia.

Outros métodos usados para obter privilégios elevados incluem a exploração de falhas de segurança como ZeroLogon (CVE-2020-1472), NoPac (CVE-2021-42278 e CVE-2021-42287) e PrintNightmare (CVE-2021-34527).

Algumas instâncias também envolveram o uso de uma ferramenta chamada Backstab para desativar software de detecção e resposta de ponto final (EDR). Vale ressaltar que o Backstab também foi usado por afiliados do LockBit no passado.

O último passo envolve a criptografia de arquivos usando um algoritmo ChaCha20 com uma chave pública RSA-4096, mas não antes de excluir cópias de sombra do volume via o programa vssadmin.exe para inibir a recuperação do sistema.

“Organizações de saúde são alvos atraentes para atores de cibercrime devido ao seu tamanho, dependência tecnológica, acesso a informações de saúde pessoal e impactos únicos de interrupções no atendimento ao paciente”, disseram as agências.

O desenvolvimento ocorre enquanto uma campanha de ransomware CACTUS continua a explorar falhas de segurança em uma plataforma de análise de nuvem e inteligência de negócios chamada Qlik Sense para obter acesso inicial a ambientes-alvo.

Uma nova análise da equipe Fox-IT da NCC Group revelou que 3.143 servidores ainda estão em risco de CVE-2023-48365 (ak DoubleQlik), com a maioria deles localizada nos EUA, Itália, Brasil, Holanda e Alemanha em 17 de abril de 2024.

O cenário de ransomware está em um estado de fluxo, registrando uma queda de 18% na atividade no primeiro trimestre de 2024 em comparação com o trimestre anterior, liderada principalmente por operações policiais contra ALPHV (também conhecido como BlackCat) e LockBit.

Com o LockBit sofrendo significativos contratempos reputacionais entre os afiliados, suspeita-se que o grupo provavelmente tentará se rebrandear. “O grupo de ransomware DarkVault é um possível sucessor do LockBit”, disse a empresa de segurança cibernética ReliaQuest, citando semelhanças com a marca do LockBit.

Alguns dos outros novos grupos de ransomware que fizeram sua aparição nas últimas semanas incluem APT73, DoNex, DragonForce, Hunt (uma variante de ransomware Dharma/Crysis), KageNoHitobito, Megazord, Qiulong, Rincrypt e Shinra.

“A ‘diversificação’ de cepas de ransomware e ‘a capacidade de se adaptar rapidamente e rebrandear diante de adversidades fala sobre a natureza dinâmica e resiliente dos atores de ameaças no ecossistema de ransomware”, disse a empresa de análise de blockchain Chainalysis, destacando uma queda de 46% nos pagamentos de resgate em 2023.

Isso é corroborado por descobertas da Coveware, do grupo Veeam, que disse que a proporção de vítimas que escolheram pagar atingiu uma nova mínima de 28% no primeiro trimestre de 2024. O pagamento médio de resgate para o período de tempo ficou em US$ 381.980, uma queda de 32% em relação ao quarto trimestre de 2023.

A queda foi complementada ainda mais pelo aumento de vítimas que se recusaram a pagar o valor inicialmente exigido, segundo uma pesquisa global com 5.000 organizações realizada como parte do relatório Sophos State of Ransomware 2024 divulgado no mês passado.

“1.097 respondentes cuja organização pagou o resgate compartilharam o valor real pago, revelando que a média (mediana) aumentou 5 vezes ao longo do último ano, de US$ 400.000 para US$ 2 milhões”, disse a empresa.

“Enquanto a taxa de pagamento de resgate aumentou, apenas 24% dos entrevistados dizem que seu pagamento coincidiu com o pedido inicial. 44% pagaram menos que a demanda original, enquanto 31% pagaram mais.”

Você também pode gostar

A Importância Da Atividade Física Na Infância

O Impacto Do Aquecimento Global Na Floresta Amazônica

Dados da Change Healthcare à venda na dark web à medida que consequências de ataque de ransomware saem do controle