Cybereason, il vendor di XDR, ha pubblicato un threat alert, avvertendo le organizzazioni globali di un aumento degli attacchi ransomware da parte della gang Black Basta. Emersa nell’aprile 2022, la gang Black Basta ha colpito quasi 50 aziende negli Stati Uniti, nel Regno Unito, in Australia, in Nuova Zelanda e in Canada. Sembrano proprio le organizzazioni nei paesi di lingua inglese gli obiettivi del gruppo di criminali informatici. Cybereason valuta il livello di minaccia di questi attacchi ransomware contro le organizzazioni globali come “SEVERE”.
“Black Basta è relativamente nuovo e non si sa molto del gruppo. Considerata la rapida ascesa e la precisione degli attacchi, è probabilmente gestito da ex membri delle gang Conti e REvil, le due bande di ransomware più redditizie nel 2021, non più operative”, ha affermato Lior Div, CEO e co-fondatore di Cybereason.
Black Basta ha utilizzato lo schema della doppia estorsione sulle vittime e alcune delle loro richieste di riscatto hanno superato il milione di dollari. La doppia estorsione funziona quando gli attaccanti penetrano nella rete di una vittima, rubano informazioni sensibili spostandosi lateralmente attraverso le organizzazioni e minacciano di pubblicare i dati rubati se la richiesta di riscatto non viene pagata.
Gli attacchi ransomware come quelli di Black Basta però possono essere fermati. Cybereason offre questi consigli alle organizzazioni per ridurre i rischi:
- Praticare una buona igiene della sicurezza, implementando un programma di sensibilizzazione alla sicurezza per i dipendenti, e garantendo che i sistemi operativi e altri software siano regolarmente aggiornati e con patch applicate tempestivamente.
- Assicurare che gli attori chiave possano essere raggiunti in qualsiasi momento della giornata, per mettere in atto azioni di risposta anche quando si verificano attacchi durante le ore di riposo, nei fine settimana e nei giorni festivi.
- Svolgere simulazioni table-top ed esercitazioni periodiche, coinvolgendo anche chi è al di fuori del team di sicurezza, come i reparti legal, risorse umane, supporto IT, fino agli Executive: è un’attività fondamentale per eseguire una risposta senza problemi agli incidenti.
- Garantire che siano in atto pratiche di isolamento chiare per fermare qualsiasi ulteriore ingresso nella rete o la diffusione del ransomware ad altri dispositivi. I team dovrebbero essere preparati su come disconnettere un host, bloccare un account compromesso o un dominio dannoso, ecc. Si consiglia di testare queste procedure con esercitazioni pianificate o non pianificate almeno ogni trimestre.
- Valutare il blocco degli account critici quando possibile. Il percorso che gli attaccanti spesso intraprendono per propagare il ransomware su una rete è ottenere i privilegi di amministratore e quindi distribuire il ransomware. I team dovrebbero creare account di sola emergenza altamente protetti nella active directory, da usare solo quando altri account operativi sono temporaneamente disabilitati per precauzione o inaccessibili durante un attacco ransomware.
- Implementazione di EDR su tutti gli endpoint. Secondo Peter Firstbrook di Gartner, il rimedio più rapido alla piaga del ransomware per le aziende del settore pubblico e privato è l’implementazione dell’EDR sugli endpoint. Eppure, Firstbrook afferma che solo il 40% degli endpoint ha EDR.
