La méchante tactique de Black Basta : « Attaquer, proposer de l’aide et attaquer à nouveau »

Black Basta fait partie de ces clusters de ransomwares qui ne plaisantent pas. La menace est apparue en avril 2022 et a fait une centaine de victimes en sept mois. Ce groupe est connu pour ses tactiques sophistiquées et ses attaques dans de nombreux secteurs. L’une des dernières victimes est le système de santé catholique Ascension, qui a annoncé avoir découvert une attaque le 9 mai 2024. Black Basta a réussi à perturber 140 hôpitaux du système Ascension dans 19 États et à Washington DC. Les téléphones et les systèmes informatiques sont tombés en panne et le personnel a été contraint d’utiliser des systèmes au format papier.

Plusieurs établissements du groupe Ascension ont annulé des procédures et des rendez-vous non urgents, et plusieurs hôpitaux détournent les ambulances et les services d’urgence vers d’autres établissements pour s’assurer que les urgences sont prises en charge immédiatement.

Le 10 mai, le FBI, l’agence américaine pour la cybersécurité et la sécurité des infrastructures(CISA), le Département américain de la santé et des services sociaux (HHS) et le Centre américain d’analyse et de partage de l’information (MS-ISAC) ont publié un avis conjoint sur la cybersécurité (CSA) afin de fournir des informations générales et des détails techniques au sujet de Black Basta. L’avis avertit que les pirates de Black Basta disposent d’entreprises et d’infrastructures critiques en Amérique du Nord, en Europe et en Australie.

En mai 2024, les filiales de Black Basta ont touché plus de 500 organisations dans le monde, dont 12 des 16 secteurs d’infrastructures critiques aux États-Unis. Black Basta cible également de nombreux secteurs économiques.

Synlab Italia, un groupe de diagnostic médical qui exploite des centaines de sites dans toute l’Italie, est une autre victime très connue qui se remet actuellement de l’action de ces pirates. Le groupe cybercriminel a isolé son réseau et annulé tous les services d’analyse de laboratoire et de collecte d’échantillons. Black Basta a inscrit Synlab sur son site de fuites début mai 2024.

Et il y a plusieurs autres victimes notables :

-- Capita (sous-traitant technologique britannique)

-- ABB (société suisse d’automatisation industrielle)

-- Dish Network (fournisseur de télévision américain)

-- Association dentaire américaine

-- Raleigh Housing Authority (États-Unis)

-- Adams Bank & Trust (États-Unis)

-- Deutsche Leasing AG (Allemagne)

-- Twin Towers Trading, Inc. (États-Unis)

-- Van der Ven Auto’s B.V. (Pays-Bas)

Qui est Black Basta ?

Les origines exactes du groupe ne sont pas claires, mais plusieurs éléments indiquent qu’il opère à partir de la Russie ou d’un autre pays d’Europe de l’Est. Les notes des rançons et d’autres communications du groupe sont en russe ou contiennent des éléments de langue russe. Ce groupe est également connu pour fonctionner pendant les heures de bureau habituelles dans les fuseaux horaires russes. Plusieurs autres facteurs, tels que les canaux de paiement des rançons et les tactiques, techniques et procédures (TTP) de Black Basta sont similaires à ceux d’autres groupes ayant des liens avec les réseaux cybercriminels russes.

Le nom « Black Basta » ne semble rien vouloir dire. Dictionary.com indique que « Basta » signifie « Arrêtez ! » ou « Ça suffit ! » en italien et en espagnol, donc la phrase signifie « assez noir » ou « arrêt noir » ou autre chose d’autre qui ne peut pas se traduire suffisamment bien pour être articulé en anglais. Les experts pensent que c’est destiné à projeter une image de perturbation furtive, et cette explication me suffit.

En ce qui concerne les attaques de Black Basta, il est plus juste de considérer cette menace comme un cluster plutôt que comme un groupe. Les opérateurs de Black Basta développent le ransomware et gèrent les paiements, le site de fuite et d’autres infrastructures, mais ce sont les affiliés qui lancent les attaques. Black Basta est un groupe fermé de ransomware-as-a-service (RaaS) qui ne fait pas de publicité pour ses services et ne demande pas ouvertement la participation d’autres affiliés. Cet acteur malveillant recherche soigneusement les affiliés qui ont réussi à lancer des attaques de ransomware ou à développer des malwares. Ce processus de sélection a contribué à son succès fulgurant en 2022.

Le processus de recrutement a contribué à des spéculations selon lesquelles le groupe criminel pourrait être sponsorisé par l’État. En 2023, les chercheurs ont noté que :

« Les journaux de discussion de Black Basta étaient désormais dans le domaine public :

-- Une assistance technique est proposée

-- Des tutoriels sur les cryptomonnaies

-- Des interactions amicales avec les clients

On promet même des rapports médico-légaux détaillant les vulnérabilités qui ont été utilisées pour obtenir un premier accès ».

Cette sophistication suggère que Black Basta est un opérateur stable, ce qui le rendrait intéressant pour de nombreux affiliés potentiels. Pour autant que nous le sachions, ces criminels sont strictement motivés par l’appât du gain et n’ont aucune affiliation étatique ou idéologique.

L’argent est l’objectif des attaques de Black Basta

Entre avril 2022 et novembre 2023, environ 35 % des opérateurs de Black Basta ont payé une rançon et l’auteur de la menace a collecté des sommes de plus de 107 millions de dollars. Les affiliés ont reçu 14 % de ces rançons, et les opérateurs de malware QakBot ont reçu environ 10 % des rançons collectées dans le cadre d’attaques où QakBot a été utilisé.

L’affilié type utilise des techniques courantes telles que le vol d’identifiants par le biais d’attaques par hameçonnage, mais les opérateurs de Black Basta achètent également des accès auprès d’Initial Access Brokers (IAB ou courtiers en accès initial). Un IAB est un acteur malveillant spécialisé dans la recherche d’un accès à un réseau, puis dans la vente de cet accès à un tiers. En utilisant ces courtiers, les acteurs malveillants de Black Basta peuvent lancer leurs attaques immédiatement.

Les pirates utilisent souvent QakBot, Emotet et Cobalt Strike pour infiltrer un système, augmenter les privilèges et se déplacer latéralement au sein du réseau. Ils mettront en place des serveurs de commande et de contrôle (C2) pour gérer l’exfiltration de données et le déploiement de ransomwares. L’attaque contient une demande de rançon exigeant un paiement en cryptomonnaie. Elle inclut également des instructions pour accéder au portail de Black Basta sur le dark web, où les victimes peuvent communiquer avec les cybercriminels et obtenir des outils de décryptage moyennant un paiement.

Depuis le mois d’avril 2024, un acteur malveillant connu sous le nom de Storm-1811 a été observé en train d’utiliser une nouvelle procédure pour accéder à des réseaux de grande valeur. Ces assauts commencent par une attaque massive par hameçonnage adressée aux salariés de l’entreprise ciblée. L’attaque inonde les boîtes de réception de messages, ce qui provoque la saturation et le stress des employés. Pendant que cette attaque par spam et par hameçonnage est en cours, Storm-1811 lance une attaque par hameçonnage vocal (vishing) dans laquelle l’interlocuteur se fait passer pour un membre du support technique. En cas de réussite, le pirate incite l’employé à fournir un accès à distance au système par le biais de l’outil Quick Assist de Microsoft.

Attaquer, proposer de l’aide et attaquer à nouveau

Le groupe Storm-1811 a également été observé en train d’exploiter AnyDesk lorsque Quick Assist n’est pas disponible. AnyDesk est une application tierce de gestion à distance et, comme Quick Assist de Microsoft, elle permet à l’assistance technique d’aider l’utilisateur final à résoudre des problèmes informatiques.

Une fois que le pirate a pris le contrôle par le biais de l’outil d’assistance à distance, il pourra exécuter des scripts qui installeront les charges utiles malveillantes qui conduiront à l’attaque par ransomware de Black Basta. Certains de ces scripts semblent être de fausses mises à jour de filtres anti-spam, et ils invitent l’employé à saisir son nom d’utilisateur et son mot de passe. Il s’agit d’une attaque par hameçonnage visant à dérober les identifiants de l’utilisateur.

Le groupe Storm-1811 passera ensuite à une attaque de type « hands on keyboard » et lancera manuellement la reconnaissance et les mouvements latéraux. C’est ce que l’on appelle « l’énumération de domaines », dans laquelle « le cybercriminel recueille des informations détaillées sur la structure, les ressources et les contrôles de sécurité d’un réseau, en particulier dans le contexte d’un environnement Windows Active Directory (AD) ». En d’autres termes, l’objectif du pirate est d’étendre sa surface d’attaque dans le domaine. Une fois prêt, il commencera l’exfiltration des données et déploiera le ransomware.

Cette combinaison de tactiques traditionnelles de spam et de phishing, de vishing ou d’ingénierie sociale et d’accès à distance semble être une nouvelle chaîne d’attaque basée sur des prétextes soigneusement conçus. L’attaque pourrait également être la première utilisation de Microsoft Quick Assist en tant qu’outil d’infection réseau par un acteur malveillant connu. L’outil Quick Assist est disponible sur Microsoft Store et peut être bloqué ou désactivé à tout moment.

Historique de Black Basta

Black Basta a été liée à plusieurs acteurs et groupes malveillants connus, principalement en raison de similitudes en matière de tactiques, de techniques et de procédures (TTP), ainsi que par des chevauchements opérationnels directs. On pense généralement qu’il s’agit d’un nouveau nom ou d’une ramification du groupe de ransomwares Conti. Conti a disparu en mai 2022, probablement à cause de conflits internes provoqués par sa déclaration de soutien à la Russie.

Il est logique que les pirates du groupe Conti se séparent et changent de nom tout en continuant d’utiliser d’anciennes méthodes et ressources.

Les analystes de la blockchain Elliptic « ont suivi la trace des bitcoins d’une valeur de plusieurs millions de dollars provenant de portefeuilles liés à Conti pour découvrir qu’ils étaient passés à des portefeuilles associés à l’opérateur Black Basta ». Conti et Black Basta utilisent la plateforme russe de cryptomonnaies Garantex pour blanchir l’argent de leurs rançons.

Les chercheurs ont également établi un lien entre Black Basta et l’acteur malveillant FIN7, également connu sous le nom de Carbanak et sous de nombreux autres noms au fil des ans. FIN7 a travaillé avec de nombreux opérateurs de ransomware, notamment REvil, CLop, Blackmatter, ALPHV et Darkside (Colonial Pipeline).

Nous savons également que QakBot est fréquemment utilisé par Black Basta pour obtenir un accès initial afin de faciliter les mouvements latéraux dans les environnements compromis. QakBot, également connu sous le nom de Qbot, Pinkslipbot et Quakbot, est une plateforme malware polyvalente qui a vu le jour en 2007 en tant que simple cheval de Troie bancaire. Des développements et des améliorations constantes l’ont transformé en téléchargeur, en ver, en porte dérobée, en enregistreur de frappe et en botnet. QakBot peut également exploiter les partages de réseau et les vulnérabilités, ce qui lui confère les capacités de déplacement latéral utilisées par Black Basta. La plateforme a été démantelée par les forces de l’ordre en août 2023, mais des variantes de QakBot sont réapparues plus tard dans l’année.

Ces relations ne nous permettent pas de savoir qui est Black Basta, mais elles révèlent l’interconnexion de l’écosystème de la cybercriminalité. Les groupes rivaux utilisent les mêmes courtiers, la même infrastructure et parfois les mêmes affiliés.

Protégez-vous

L’agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) a publié cet avis qui comprend des indicateurs de compromission (IoC) et des procédures d’atténuation. Nous vous recommandons de les consulter pour obtenir des informations détaillées sur la menace Black Basta. Assurez-vous également de suivre les meilleures pratiques standard en matière de fréquence des sauvegardes, de gestion rapide des correctifs, de sécurité de la messagerie électronique, de segmentation du réseau et de formation de sensibilisation à la sécurité.

Barracuda offre une protection complète contre les ransomwares et propose l’une des plateformes de cybersécurité les plus complètes du marché. Consultez notre site web pour en savoir plus sur la façon dont nous protégeons les messageries électroniques, les réseaux, les applications et les données.