Come testimonia il recente attacco contro Synlab Italia, il gruppo Black Basta è uno dei più attivi del momento. CISA (Cybersecurity and Infrastructure Security Agency), FBI e altre agenzie governative statunitensi hanno pubblicato un report che illustra le TTP (tattiche, tecniche e procedure) dei cybercriminali.
Colpite oltre 500 aziende nel mondo
I primi attacchi sono stati rilevati ad aprile 2022. Black Basta è quindi un gruppo piuttosto “giovane”, ma i membri hanno una lunga esperienza. Alcuni di essi provengono dal gruppo Conti, smantellato in seguito alle varie operazioni delle forze dell’ordine. Black Basta sfrutta il noto modello RaaS (Ramsomware-as-a-Service) con amministratori/sviluppatori che ricevono una percentuale dei riscatti incassati dagli affiliati.
In base al report, il gruppo ha colpito finora oltre 500 organizzazioni nel mondo, principalmente aziende, gestori di infrastrutture critiche e sistemi di assistenza sanitaria. L’attacco più recente è stato effettuato contro la rete di Ascension, causando l’interruzione dei servizi, come avvenuto per Synlab Italia.
I cybercriminali sfruttano la tecnica dello spear phishing o vulnerabilità software per accedere alla rete interna. Effettuano quindi una scansione con appositi tool per recuperare più informazioni possibili e scoprire le credenziali di login. Successivamente ottengono privilegi di amministratore, disattivano gli antivirus, esfiltrano i dati e installano il ransomware.
Nel report sono indicati anche i consigli da seguire come prevenzione: installare gli aggiornamenti dei software, attivare l’autenticazione multi-fattore, addestrare gli utenti su come individuare i tentativi di phishing, limitare gli accessi con privilegi elevati e creare copie di backup offline (non connesse ad Internet) di sistemi e configurazioni.
Ti potrebbe interessare
13 mag 2024