Red Hot Cyber

La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed 
incentiva gli altri a fare meglio di te.

Cerca

Incidente ad Acea: oggi il riavvio dei servizi. Scopriamo la richiesta di riscatto di BlackBasta

Redazione RHC : 5 Febbraio 2023 08:58

Come abbiamo riportato nella giornata di ieri, l’incidente ad ACEA si sta consumando e non sembra che sia di breve durata. Questa mattina alle 09:00 mentre pubblichiamo questo aggiornamento, il sito web e i backend delle app mobile ancora non funzionano.

Alcune fonti ci hanno detto che nella giornata di oggi, si tenterà a far ripartire i servizi, pertanto il sito web dovrebbe ritornare online, anche se non è certo il risultato finale.

Relativamente alla richiesta di riscatto, non è ancora conosciuto il valore economico.

Il giallo della richiesta di riscatto dell’Acea

Supporta Red Hot Cyber attraverso

Per poter conoscere l’ammontare della richiesta di riscatto di una violazione effettuata da BlackBasta, è possibile solo dopo aver acceduto al backend del sito onion.

BlackBasta una volta crittografato i dati, crea una richiesta in un file dal nome di “readme.txt”. In tale file viene pubblicato il link alla form di accesso del backend di BlackBasta e un ID relativo all’azienda colpita che deve essere inserito per avviare la trattativa.

Nota di riscatto della cybergang BlackBasta

Nello specifico, la cybergang viene chiamata a “modello chiuso”.

Questo vuol dire che non pubblica l’ammontare del riscatto sul suo data leak site (DLS). Si tratta di un “modello” o “procedura” comune ad altre cyber gang come Royal e Backbyte o Hive Ransomware (cybergang chiusa dall’FBI qualche settimana fa).

Di fatto BlackByte segue il modello di Conti Ransomware, altra cyber gang d’èlite che oramai non opera più direttamente, che non pubblicava le richieste di riscatto sul proprio sito underground (come lo fa ad esempio LockBit).

Questo modello consente di effettuare una trattativa riservata tra la cybergang e azienda, senza che altri interferiscano nelle loro attività.

La form di accesso al backend di BlackBasta nella rete onion

Teniamo a precisare che non siamo entrati all’interno del backend di BlackBasta per evitare di interferire nelle attività tra l’azienda colpita e la cybergang criminale.

Form di Login nel backend di Black Basta

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Nel caso in cui l’azienda voglia fornire una dichiarazione a RHC, saremo lieti di pubblicarla con uno specifico articolo dando risalto alla questione.

Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono accedere utilizzare la mail crittografata del whistleblower.

Chi sono i criminali di BlackBasta

Il ransomware, è una tipologia di malware che viene inoculato all’interno di una organizzazione, per poter cifrare i dati e rendere indisponibili i sistemi. Una volta cifrati i dati, i criminali chiedono alla vittima il pagamento di un riscatto, da pagare in criptovalute, per poterli decifrare.

Qualora la vittima non voglia pagare il riscatto, i criminali procederanno con la doppia estorsione, ovvero la minaccia della pubblicazione di dati sensibili precedentemente esfiltrati dalle infrastrutture IT della vittima.

Per comprendere meglio il funzionamento delle organizzazioni criminali all’interno del business del ransomware as a service (RaaS), vi rimandiamo a questi articoli:

Black Basta è un ransomware as a service (RaaS) emerso per la prima volta nell’aprile 2022. Tuttavia, le prove suggeriscono che è in fase di sviluppo da febbraio.

Gli operatori di Black Basta utilizzano la tecnica della doppia estorsione, il che significa che oltre a crittografare i file sui sistemi delle organizzazioni prese di mira e richiedere un riscatto per rendere possibile la decrittazione, mantengono anche un sito di fuga di informazioni sul dark web dove minacciano di pubblicare informazioni sensibili se un’organizzazione sceglie di non pagare un riscatto.

Gli affiliati di Black Basta sono stati molto attivi nell’implementazione di Black Basta e nell’estorsione di organizzazioni sin dalla prima comparsa del ransomware.

Il ransomware di BlackBasta è scritto in C++ e ha un impatto sui sistemi operativi Windows e Linux.

Crittografa i dati degli utenti utilizzando una combinazione di ChaCha20 e RSA-4096 e, per accelerare il processo di crittografia, il ransomware crittografa in blocchi di 64 byte, con 128 byte di dati che rimangono non crittografati tra le porzione di dati crittografate.

Più velocemente viene la crittografia del ransomware, più sistemi possono essere potenzialmente compromessi prima che vengano attivate le difese perimetrali. È un fattore chiave che gli affiliati cercano quando si uniscono a un gruppo Ransomware-as-a-Service.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.
Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

Redazione: [email protected]
© Copyright RED HOT CYBER. PIVA 16821691009