Black Basta

Quem é Black Basta?

A Black Basta (também conhecida como BlackBasta) é uma operadora de ransomware e uma empresa criminosa de ransomware como serviço (RaaS) que surgiu no início de 2022 e imediatamente se tornou um dos agentes de ameaças de RaaS mais ativos do mundo, acumulando 19 vítimas corporativas importantes e mais de 100 vítimas confirmadas em seus primeiros meses de operação. O Black Basta tem como alvo organizações nos EUA, Japão, Canadá, Reino Unido, Austrália e Nova Zelândia em ataques altamente direcionados, em vez de empregar uma abordagem do tipo "spray-and-pray". As táticas de resgate do grupo usam uma tática de extorsão dupla, criptografando os dados críticos e os servidores vitais da vítima e ameaçando publicar dados confidenciais no site de vazamento público do grupo.

Acredita-se que os principais membros da Black Basta tenham se originado do extinto grupo de agentes de ameaças Conti devido às semelhanças em sua abordagem ao desenvolvimento de malware, sites de vazamento e comunicações para negociação, pagamento e recuperação de dados. A Black Basta também foi vinculada ao agente de ameaças FIN7 (também conhecido como Carbanak) devido a semelhanças em seus módulos personalizados de evasão de EDR (Endpoint Detection and Response) e ao uso sobreposto de endereços IP para operações de comando e controle (C2).

Últimas notícias do Black Basta

Como funciona um ataque do Black Basta

Nas primeiras campanhas, os ataques do Black Basta começaram com campanhas de spear-phishing altamente direcionadas para obter acesso inicial. Em abril de 2022, o grupo começou a anunciar sua intenção de comprar acesso à rede corporativa e compartilhar os lucros com corretores de acesso inicial (IAB) afiliados. Depois de obter o acesso inicial, o Black Basta implanta uma série de táticas de segundo estágio para adquirir credenciais de domínio do Windows e penetrar lateralmente na rede de um alvo, roubar dados confidenciais e implantar ransomware. 

Para atingir os objetivos do segundo estágio, o Black Basta usa um conjunto diversificado de táticas, incluindo o uso do QakBot stealer (também conhecido como QBot ou Pinkslipbot), MimiKatz e a exploração da API nativa do Windows Management Instrumentation (WMI) para coleta de credenciais e, em seguida, usa comandos Powershell e PsExec para obter acesso a pontos de extremidade de rede adjacentes usando as credenciais extraídas. O Black Basta também pode explorar as vulnerabilidades ZeroLogon, NoPac e PrintNightmare para aumentar os privilégios locais e do Windows Active Domain. Para o controle remoto C2 de sistemas infectados, a Black Basta instala o Cobalt Strike Beacons, usa o SystemBC para proxy C2 e a ferramenta Rclone para exfiltração de dados.

O estágio de criptografia de um ataque do Black Basta começa com a desativação de produtos antivírus, a execução de uma carga útil de criptografia remotamente via PowerShell e a exclusão de cópias de sombra do sistema usando o programa vssadmin.exe. A partir daí, o Black Basta executa uma carga útil de ransomware personalizada que passou por pelo menos uma mudança significativa de versão desde que foi observada pela primeira vez. A primeira versão do módulo de criptografia do Black Basta era semelhante à do ransomware Conti. Em contraste, a segunda versão aprimorada usa ofuscação pesada e nomes de arquivos aleatórios para evitar produtos EDR e substituiu o uso dos algoritmos da biblioteca GNU Multiple Precision Arithmetic Library (GMP) pela biblioteca de criptografia Crypto++. O módulo de criptografia do Black Basta 2.0 usa o algoritmo XChaCha20 para criptografia simétrica, um par de chaves exclusivo de Criptografia de Curva Elíptica (ECC) para criptografar e anexar a chave simétrica juntamente com a chave pública ECC para descriptografá-la e com um nonce aos dados do arquivo criptografado.

A Black Basta também usou outras técnicas distintas em seus ataques, como a desativação dos serviços de DNS do sistema comprometido para complicar o processo de recuperação, impedindo-o de acessar a Internet, e a implantação de uma variante de ransomware que visa máquinas virtuais (VMs) VMware ESXi baseadas em Linux. 

Sinais de um ataque de Black Basta

As primeiras versões do ransomware Black Basta eram mais fáceis de detectar do que sua segunda iteração, mais evasiva, que implementa ofuscação de strings e nomes de arquivos aleatórios para evitar métodos de detecção estática usados por produtos antivírus padrão.

Os ataques do ransomware Black Basta anexam uma extensão .basta ou ransom aos arquivos criptografados e criam uma nota de resgate "readme.txt" na área de trabalho da vítima, que contém um link para o site de vazamento onde os dados roubados são publicados. Outra maneira de distinguir um ataque do Black Basta de outros ataques de ransomware é examinar o início de cada arquivo criptografado, pois o Black Basta usa um novo esquema de criptografia que precede cada arquivo com uma chave pública efêmera NIST P-521 exclusiva de 133 bytes, seguida por uma chave XChaCha20 de 32 bytes, um nonce de 24 bytes e um HMAC de 20 bytes. Isso é seguido por um preenchimento de byte nulo de comprimento variável e um identificador de campanha exclusivo de 12 bytes antes do início do material do arquivo criptografado. 

Como evitar um ataque de Black Basta

A prevenção de um ataque Black Basta depende da implementação de um programa abrangente de segurança cibernética empresarial que inclua táticas defensivas para impedir que os invasores obtenham acesso inicial, implementando produtos avançados de segurança de endpoint e mantendo uma estratégia de backup eficaz para permitir a recuperação rápida de um ataque bem-sucedido de ransomware.

As táticas de proteção contra um ataque do Black Basta incluem:

  • Considere o treinamento de conscientização do usuário para instruir o pessoal sobre técnicas de phishing e desenvolva procedimentos operacionais padrão (SOP) para lidar com e-mails e documentos suspeitos
  • Analise os controles de segurança de rede relacionados ao TTP conhecido do Black Basta e prepare-se para detectar IoC e assinaturas de arquivo conhecidos do Black Basta
  • Instalar e configurar produtos avançados de segurança de endpoint que monitoram os endpoints em busca de atividades suspeitas
  • Implementar ferramentas modernas de gerenciamento de identidade e acesso
  • Implemente uma estratégia de backup confiável com backups off-line bem protegidos e pratique procedimentos de recuperação de desastres para garantir que as metas de tempo médio de recuperação (MTTR) possam ser atingidas

CylanceOPTICS Evita ataques de ransomware

OCylanceOPTICS® fornece detecção e correção de ameaças no dispositivo usando inteligência artificial (IA) para evitar incidentes de segurança com análise de causa raiz, busca inteligente de ameaças e recursos automatizados de detecção e resposta. Nossa abordagem de EDR (Endpoint Detection and Response) elimina efetivamente a latência de resposta. Isso pode ser a diferença entre um pequeno incidente de segurança e um evento generalizado e sem controle.
Saiba mais

Recursos relacionados:

Ícone de recurso Prevenção contra perda de dados (DLP) Ícone de recurso Segurança de endpoint Ícone de recurso Plataformas de proteção de endpoints (EPP) Ícone de recurso Detecção e resposta de endpoint (EDR) Ícone de recurso Detecção e resposta estendidas (XDR) Ícone de recurso Gerenciamento de identidade e acesso (IAM) Ícone de recurso Detecção e resposta gerenciadas Ícone de recurso XDR gerenciado Ícone de recurso Estrutura MITRE ATT&CK Ícone de recurso Defesa contra ameaças móveis (MTD) Ícone de recurso Análise de comportamento de usuários e entidades (UEBA) Ícone de recurso Arquitetura Zero Trust Ícone de recurso Acesso à rede de confiança zero (ZTNA) Ícone de recurso Segurança Zero Trust Ícone de recurso Gerenciamento de eventos e informações de segurança (SIEM) Ícone de recurso Serviço de acesso seguro na borda (SASE)
Mais recursos