In base alle statistiche pubblicate da Malwarebytes, Black Basta è uno dei ransomware più recenti, ma l’omonima gang è già molto attiva (occupa la seconda posizione dietro LockBit). I ricercatori di NCC Group hanno ora scoperto una collaborazione con i cybercriminali che distribuiscono il malware QBot.
Black Basta e QBot: partnership molto pericolosa
QBot (o Qakbot) è in circolazione da oltre 10 anni. Si tratta di un trojan bancario che viene distribuito attraverso macro infette di file Excel allegati alle email (recentemente è stata adottata una tecnica differente). Il malware è stato spesso utilizzato per ottenere l’accesso iniziale al computer, ovvero come “porta di ingresso” che permette di installare il ransomware.
Gli esperti di NCC Group hanno invece scoperto che QBot è stato sfruttato per eseguire un “movimento laterale” attraverso la rete delle vittime da parte del gruppo Black Basta. In pratica QBot viene usato come supporto all’azione principale, ovvero l’installazione del ransomware.
QBot può infettare le condivisioni di rete, rubare le credenziali di login e usare il protocollo SMB per creare copie di se stesso. Il ransomware Black Basta opera come altri simili malware. Dopo aver cifrato i file mostra un documento di testo con le istruzioni da seguire per pagare il riscatto. Se la vittima non paga, i dati vengono pubblicati su un sito Tor nel dark web.
È sempre meglio verificare il mittente delle email, evitando di aprire allegati sospetti. In ogni caso è preferibile l’installazione di soluzioni di sicurezza che rilevano attacchi phishing e ransomware, come Malwarebytes Premium.