Black Basta

 

E’ stato ribattezzato Black Basta il nuovo gruppo di criminali informatici che ha iniziato le sue operazioni molto di recente e sfrutta il ransomware come arma contro le proprie vittime.

Come funziona il ransomware Black Basta

Da alcuni sample analizzati, i ricercatori Swascan hanno potuto effettuare una ricostruzione iniziale del funzionamento del malware utilizzato dalla nuova cyber gang. Black Basta utilizza l’ormai nota e diffusa tecnica di attacco denominata a doppia estorsione: prima di crittografare i file, infatti, ne ruba una copia da utilizzare poi nella seconda fase dell’attacco.

Quando il malware riesce a garantirsi l’accesso a una macchina interna all’azienda presa di mira, avendone rubato una copia dei dati, ne blocca l’accesso con la crittografia, rendendo così inutilizzabile il computer infetto.

Quindi, al riscatto operato per l’eventuale decriptazione dei file, spesso risolto con il ripristino di un backup, si aggiunge il riscatto  minacciando  di rendere pubblici e scaricabili a chiunque i file precedentemente rubati.

Nello specifico del malware adoperato per le operazioni di Black Basta, i ricercatori hanno identificato che l’eseguibile ha necessità dei privilegi di amministratore per poter portare a termine con successo il suo compito.

Completando il processo di crittografia dei dati, il malware cambierà lo sfondo della macchina presa in ostaggio, riavvierà in “modalità provvisoria con rete” e depositerà sulla memoria del computer un file di testo Readme.txt contenente la nota di riscatto. All’interno le istruzioni per avviare la trattativa per il pagamento con il gruppo malevolo.

 

Magniber negli update di Windows 10

Gli aggiornamenti fasulli (virus), sono stati distribuiti con vari nomi attraverso siti di crack e warez. Alcuni di essi includono un numero simile a quello usato da Microsoft per indicare le patch di sicurezza (ad esempio KB47287134). In realtà questi update non esistono nella Knowledge Base dell’azienda di Redmond. La campagna malware è iniziata all’inizio di aprile e sembra attiva in molti paesi.

Invece della presunta patch viene installato il ransomware Magniber che cancella le copie shadow dei volumi e cifra tutti i file, aggiungendo un’estensione casuale lunga 8 caratteri. Viene quindi creata una pagina HTML in ogni directory che contiene le istruzioni da seguire per accedere al sito Tor predisposto per il pagamento del riscatto. La vittima può ottenere uno sconto se paga entro 5 giorni, altrimenti la somma raddoppia fino a 0,136 Bitcoin.

Magniber colpisce prevalentemente gli utenti privati. È quindi assolutamente indispensabile una soluzione di sicurezza che può rilevare e bloccare questo tipo di minaccia informatica.

 

 

 

PIETRO FERRANTELLI