Arriva in Italia Black Basta, il ransomware presumibilmente lanciato da una gang sudafricana

Black Basta è un ransomware frutto dell’azione di una nuova gang probabilmente sudafricana che opera da pochissimo ma che – nel giro di una manciata di settimane – ha già violato oltre dieci aziende. L’arrivo in Italia viene segnalato dal SOC team della Cyber Security Company Swascan, che ha intercettato e analizzato un nuovo strain di ransomware recentemente molto attivo in occidente – negli Stati Uniti -. La gang si slega dalle logiche di “state sponsored attacks” e opera approfittando, come tante altre, del caos mondiale generato dalla guerra in Ucraina.

LEGGI ANCHE >>> Principi traversali di indirizzo e buone pratiche per sventare gli attacchi informatici: la circolare dell’ACN per le PA

Black Basta intercettato in Italia

Pierguido Iezzi, CEO di Swascan del gruppo Tinexta Cyber, ha parlato del gruppo sempre più attivo e della sua cyber offensiva come è stata inquadrata finora: «Dietro Black Basta con grande probabilità non si cela una gang dell’est Europa, ma un gruppo di Criminal Hacker potenzialmente provenienti dal Sud Africa, come si evince da porzioni di codice rinvenute dalla prima analisi statica del ransomware intercettato». Swascan fa sapere che è all’attivo un’analisi per capire in maniera approfondita i dettagli e le implicazioni relative a questa nuova minaccia che, preso, saranno disponibili in uno studio completo.

Cosa sappiamo del ransomware dal Sudafrica

Come sottolineato anche su BleepingComputer, la gang sta agendo in fretta colpendo una serie di obiettivi in tutto il mondo. I primi attacchi risalgono alla seconda settimana di aprile. Tra le vittime, una ha ricevuto una richiesta di riscatto pari a 2 milioni di dollari. Per ora non è possibile avere accesso a molte informazioni in più poiché il gruppo non racconta quello che fa e non recluta affiliati sui forum di hacking.

Considerata l’efficacia del loro agire e la capacità di mietere rapidamente nuove vittime, comunque, si ipotizza che possa trattarsi di un rebrand – ovvero un cambio di nome – di una banda già precedentemente attiva che può contare su persone con esperienza.

Il team di Swascan ha eseguito una analisi decisamente approfondita del ransomware. Payloads criptati ed offuscati rendono più complessa l’identificazione del virus, la richiesta di riscatto è contenuta all’interno della sezione .data del PE e – mentre il ransomware opera – cerca di capire in che ambiente si trova, in modo tale da targettizzare al meglio il suo bersaglio e rendere la macchina infettata praticamente inutilizzabile. Inoltre, Black Basta prova a firmarsi come applicazione legittima, in modo tale da “mimetizzarsi” meglio, eludere dei sistemi antivirus e ingannare più facilmente l’utente.

«Oltre a criptare i files dell’infrastruttura attaccata – spiegano da Swascan -, il ransomware provvede anche ad esfiltrare i dati e pubblicarli online in caso di mancato pagamento del riscatto».