Sullo scenario del cybercrime è rapidamente entrato questo mese Black Basta, un nuovo gruppo ransomware che ha violato almeno dodici società in poche settimane.
I primi attacchi si sono verificati nella seconda settimana di aprile, quando il gruppo ha iniziato ad attaccare le aziende di tutto il mondo.
Al momento non si sa molto su Black Basta in quanto non ha iniziato a commercializzare le proprie operazioni o a reclutare affiliati sui forum di hacking, ciononostante, a causa della capacità di accumulare rapidamente nuove vittime e dello stile delle negoziazioni, questa probabilmente non è una nuova operazione, bensì un rebranding di un precedente gruppo di estorsioni di alto livello che ha portato con sé i suoi affiliati.
Come altre famiglie di ransomware mirate alle aziende, Black Basta ruba dati e documenti aziendali prima di crittografare i dispositivi di un’azienda e utilizza attacchi a doppia estorsione in cui gli attori delle minacce richiedono un riscatto per ricevere un decryptor e impedire la pubblicazione dei dati rubati.
L’operazione riguardante l’estorsione dei dati è condotta sul sito Tor “Black Basta Blog” o “Basta News” contenente un elenco e pagine di fuga di dati di tutte le vittime che si sono rifiutate di pagare un riscatto, attualmente dieci società che hanno violato. BleepingComputer, tuttavia, è a conoscenza di altre vittime non attualmente elencate sul sito di fuga di dati.
La vittima più recente elencata è Deutsche Windtechnik, che ha subito un attacco informatico l’11 aprile ma non aveva rivelato che si trattasse di un attacco ransomware. Il 26 aprile il sito di fuga di dati ha iniziato a divulgare anche i dati dell’American Dental Association, che ha subito un attacco il 22 aprile, ma da allora quella pagina è stata rimossa, il che indicherebbe che l’azienda sta negoziando con gli attori delle minacce.
Sebbene le richieste di riscatto possano variare tra le vittime, BleepingComputer è a conoscenza di una vittima che ha ricevuto una richiesta di oltre 2 milioni di dollari dal gruppo per decrittografare i file e non divulgare dati.
L’esperto di ransomware Michael Gillespie ha analizzato il processo di crittografia di Black Basta e ha riferito che l’algoritmo utilizzato dal gruppo per crittografare i file è ChaCha20. La chiave di crittografia ChaCha20 viene quindi crittografata con una chiave pubblica RSA-4096 inclusa nell’eseguibile.
Il sito di negoziazione Tor intitolato “Chat Black Basta” include solo una schermata di accesso e una chat web che vengono utilizzate per negoziare con gli attori delle minacce. Tramite questa schermata gli hacker inviano un messaggio di benvenuto alle vittime contenente una richiesta di riscatto, una minaccia che i dati verranno trapelati se il pagamento non viene effettuato entro sette giorni e la promessa di un rapporto sulla sicurezza dopo il pagamento del riscatto.
Sfortunatamente, Gillespie ha affermato che l’algoritmo di crittografia è sicuro e che non c’è modo di recuperare i file gratuitamente.
Considerata la rapidità con cui Black Basta ha accumulato vittime, nonché lo stile delle loro negoziazioni, gli esperti ritengono che si tratta molto probabilmente di un rebranding di un’operazione esperta.
Una teoria discussa tra il ricercatore di sicurezza MalwareHunterTeam e un altro autore è che Black Basta possa essere un imminente rebrand dell’operazione di ransomware Conti.
L’ipotesi è relativa al fatto che Conti, dopo che negli ultimi due mesi è stato sottoposto a un attento esame a seguito della divulgazione di molteplici conversazioni private e del codice sorgente del ransomware da parte di un ricercatore ucraino, avrebbe rinominato la loro operazione per eludere le forze dell’ordine e ricominciare da capo con un nome diverso.
Sebbene il crittografo Black Basta sia molto diverso da quello di Conti, MalwareHunterTeam ritiene che ci siano numerose somiglianze nel loro stile di negoziazione e nel design del sito Web.