A operação de ransomware-como-serviço (RaaS) Black Basta visou mais de 500 entidades da indústria privada e infraestrutura crítica na América do Norte, Europa e Austrália desde seu surgimento em abril de 2022.
Em um comunicado conjunto publicado pela Agência de Segurança Cibernética e de Infraestrutura (Cybersecurity and Infrastructure Security Agency - CISA), pelo Federal Bureau of Investigation (FBI), pelo Departamento de Saúde e Serviços Humanos (Department of Health and Human Services - HHS) e pelo Centro de Compartilhamento de Informações e Análise Multistadual (Multi-State Information Sharing and Analysis Center - MS-ISAC), as agências informaram que os agentes de ameaças criptografaram e roubaram dados de pelo menos 12 dos 16 setores de infraestrutura crítica.
"Afiliados do Black Basta usam técnicas comuns de acesso inicial — como phishing e exploração de vulnerabilidades conhecidas — e então empregam um modelo de dupla extorsão, criptografando sistemas e exfiltrando dados," diz o boletim.
Ao contrário de outros grupos de ransomware, as notas de resgate deixadas no final do ataque não contêm uma demanda inicial de resgate ou instruções de pagamento.
Em vez disso, as notas fornecem às vítimas um código único e instruem-nas a contatar a gangue via um URL .onion.
Black Basta foi observado pela primeira vez em abril de 2022 usando QakBot como um vetor inicial, e tem permanecido um ator de ransomware altamente ativo desde então.
Estatísticas coletadas pela Malwarebytes mostram que o grupo foi vinculado a 28 dos 373 ataques de ransomware confirmados que ocorreram em abril de 2024.
De acordo com a Kaspersky, foi a 12ª família mais ativa em 2023.
Black Basta também testemunhou um aumento na atividade no 1º trimestre de 2024, com um aumento de 41% em relação ao trimestre anterior.
Há evidências que sugerem que os operadores do Black Basta têm vínculos com outro grupo de cibercrime conhecido como FIN7, que mudou para a realização de ataques de ransomware desde 2020.
As cadeias de ataque envolvendo o ransomware contaram com ferramentas como o scanner de rede SoftPerfect, BITSAdmin, beacons Cobalt Strike, ConnectWise ScreenConnect e PsExec para movimento lateral, Mimikatz para escalada de privilégios e RClone para exfiltração de dados antes da criptografia.
Outros métodos usados para obter privilégios elevados incluem a exploração de falhas de segurança como ZeroLogon (
CVE-2020-1472
), NoPac (
CVE-2021-42278
e
CVE-2021-42287
) e PrintNightmare (
CVE-2021-34527
).
Casos selecionados também envolveram a implementação de uma ferramenta chamada Backstab para desativar o software de detecção e resposta de endpoint (EDR).
Vale ressaltar que Backstab também foi utilizado por afiliados do LockBit no passado.
O último passo é a criptografia de arquivos usando um algoritmo ChaCha20 com uma chave pública RSA-4096, mas não antes de deletar cópias de sombra de volume via o programa vssadmin.exe para inibir a recuperação do sistema.
"Organizações de saúde são alvos atrativos para agentes de cibercrime devido ao seu tamanho, dependência tecnológica, acesso a informações pessoais de saúde e impactos únicos de interrupções no cuidado ao paciente," disseram as agências.
O desenvolvimento acontece enquanto uma campanha de ransomware CACTUS continua a explorar falhas de segurança em uma plataforma de análise em nuvem e de inteligência de negócios chamada Qlik Sense para obter acesso inicial aos ambientes alvo.
Uma nova análise pela equipe Fox-IT do Grupo NCC revelou que 3.143 servidores ainda estão em risco do
CVE-2023-48365
(também conhecido como DoubleQlik), com a maioria deles localizados nos EUA, Itália, Brasil, Países Baixos e Alemanha, em 17 de abril de 2024.
A paisagem de ransomware está em constante mudança, registrando uma queda de 18% na atividade no 1º trimestre de 2024 em comparação com o trimestre anterior, liderada principalmente por operações de aplicação da lei contra ALPHV (também conhecido como BlackCat) e LockBit.
Com o LockBit sofrendo com reveses significativos de reputação entre afiliados, suspeita-se que o grupo tentará provavelmente se rebrandear.
"O grupo de ransomware DarkVault é um sucessor em potencial do LockBit," disse a empresa de segurança cibernética ReliaQuest, citando semelhanças com a marca do LockBit.
Alguns dos outros novos grupos de ransomware que apareceram nas últimas semanas incluem APT73, DoNex, DragonForce, Hunt (uma variante de ransomware Dharma/Crysis), KageNoHitobito, Megazord, Qiulong, Rincrypt e Shinra.
A "diversificação" das cepas de ransomware e "a capacidade de se adaptar rapidamente e rebrandear frente a adversidades fala da natureza resiliente e dinâmica dos agentes de ameaça no ecossistema de ransomware," disse a empresa de análise de blockchain Chainalysis, destacando uma diminuição de 46% nos pagamentos de resgate em 2023.
Isso é corroborado por descobertas da Coveware, pertencente à Veeam, que disse que a proporção de vítimas que optaram por pagar atingiu um novo recorde baixo de 28% no 1º trimestre de 2024.
O pagamento médio de resgate para o período foi de $381.980, uma queda de 32% em relação ao 4º trimestre de 2023.
Segundo o relatório State of Ransomware 2024 do Sophos, lançado no final do mês passado, que pesquisou 5.000 organizações globalmente, um número considerável de vítimas recusou pagar o valor inicial solicitado.
"1.097 respondentes cuja organização pagou o resgate compartilharam a soma real paga, revelando que o pagamento médio (mediano) aumentou 5 vezes durante o último ano, de $400.000 para $2 milhões," disse a empresa.
Embora a taxa de pagamento de resgate tenha aumentado, apenas 24% dos respondentes dizem que seu pagamento correspondia à solicitação original.44% pagaram menos do que a demanda original, enquanto 31% pagaram mais.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...