Due noti gruppi di ransomware, Black Basta e Cactus, hanno incorporato il malware BackConnect nel loro arsenale per aumentare la capacità di controllo e persistenza sui sistemi compromessi.
L’avvertimento arriva dall’ultimo rapporto Trend Micro che analizza come i gruppi di criminali informatici continuano a sviluppare e perfezionare le loro tecniche di attacco.
Indice degli argomenti
Ransomware Black Basta e Cactus
Black Basta e Cactus sono due gruppi ransomware noti per i loro attacchi mirati e sofisticati.
Entrambi i gruppi utilizzano una combinazione di tecniche avanzate per ottenere l’accesso iniziale ai sistemi delle vittime, spesso attraverso campagne di phishing e social engineering.
Una volta ottenuto l’accesso, i criminali implementano il ransomware per criptare i dati delle vittime e richiedere un riscatto in cambio della chiave di decrittazione.
Il ruolo del malware BackConnect
Il malware BackConnect è un nuovo strumento che è stato recentemente aggiunto all’arsenale di Black Basta e Cactus (secondo Trend Micro, inoltre, ci sarebbero evidenze di un cambio di casacca di alcuni membri di Black Basta passati alla gang ransomware Cactus).
Questo malware consente agli aggressori di mantenere un controllo persistente sui sistemi compromessi, esfiltrare dati sensibili ed eseguire comandi da remoto.
BackConnect funziona, in pratica, come una backdoor che permette agli attaccanti di riconnettersi ai sistemi infetti anche dopo che il malware originale è stato rimosso.
Nascosta in OneDrive, questa backdoor fornisce pertanto il pieno controllo sul sistema colpito.
Tecniche di distribuzione
I due gruppi ransomware menzionati starebbero utilizzando, secondo l’analisi Trend Micro, tecniche di social engineering come il phishing e l’impersonificazione attraverso la piattaforma Microsoft Teams per ottenere l’accesso iniziale ai sistemi delle vittime.
Le vittime vengono inizialmente sommerse da una valanga di e-mail. Poco dopo, vengono contattate da un presunto reparto IT, tramite Microsoft Teams, che tenta di convincere gli interlocutori a concedere loro l’accesso remoto al proprio computer, spesso sfruttando strumenti legittimi come Quick Assist e infine OneDriveStandaloneUpdater.exe per caricare le librerie DLL malevole e ottenere l’esecuzione del malware BackConnect.
L’analisi Trend Micro ha inoltre rivelato che gli attaccanti sfrutterebbero anche un client di trasferimento file open source (WinSCP) per facilitare i trasferimenti di file all’interno dell’ambiente compromesso, e tenterebbero di diffondersi lateralmente attraverso le reti, prendendo di mira se presenti gli host ESXi usati per l’esecuzione di macchine virtuali.
Un approccio proattivo alla sicurezza informatica
L’integrazione del malware BackConnect nei loro attacchi rende le gang Black Basta e Cactus ancora più pericolose.
Con la capacità di mantenere un controllo persistente sui sistemi compromessi, questi gruppi possono continuare a esfiltrare dati sensibili e causare danni significativi anche dopo che la minaccia originale è stata mitigata.
La scoperta sottolinea la necessità di un approccio proattivo alla sicurezza informatica. È essenziale che individui e organizzazioni rimangano aggiornati sulle ultime minacce e adottino pratiche di sicurezza solide per proteggere i loro dati e sistemi da questi attacchi informatici in continua evoluzione.
“I metodi delle catene di attacco potrebbero non essere innovativi dal punto di vista tecnico, ma il modo in cui combinano l’ingegneria sociale con l’abuso di strumenti legittimi e infrastrutture basate su cloud consente loro di integrare attività dannose nei normali flussi di lavoro aziendali”, rimarca il rapporto Trend Micro, sottolineando di fatto che ciò che rende efficaci queste tipologie di attacchi non è tanto la complessità del software utilizzato, ma il modo in cui i criminali riescono a manipolare le persone con un mix di tecniche di ingegneria sociale e servizi legittimi.
Come mitigare il rischio
Come conseguenza di ciò, per mitigare il rischio di minacce simili, le organizzazioni dovrebbero prendere in considerazione di limitare gli strumenti di assistenza remota, ma anche di formare i propri dipendenti sui rischi dell’ingegneria sociale e su come applicare le best practice di sicurezza per Microsoft Teams.
Queste campagne, particolarmente attive dall’ottobre 2024, avrebbero colpito principalmente organizzazioni nel Nord America (con 21 violazioni) ed Europa (con 18 violazioni), nei settori manifatturiero, consulenza finanziaria, investimenti e immobiliare.
Nel solo 2023, il gruppo Black Basta avrebbe estorto 107 milioni di dollari in Bitcoin alle proprie vittime.
