Redazione RHC : 16 Giugno 2022 08:42
La banda ransomware BlackBasta, colpisce un’organizzazione italiana. Oggi è il turno di RadiciGroup, che si trova a combattere con il ransomware.
RadiciGroup è una società italiana con una rete di siti produttivi e commerciali dislocati in Europa, Nord America, Sud America e Asia. RadiciGroup è uno dei principali produttori mondiali di un’ampia gamma di prodotti chimici, polimeri poliammidici, tecnopolimeri, fibre sintetiche e non tessuti.
La sede del Gruppo rimane a Bergamo (Italia), precisamente a Gandino, dove già nel 1941 il fondatore Pietro Radici fondò la prima azienda tessile. Attraverso le generazioni la solida tradizione di famiglia è il segreto del successo internazionale del Gruppo.
FINO AL 31 DICEMBRE, sconti estremi sui corsi Red Hot Cyber
Affrettati!
Fino al 31 dicembre potrai acquistare a prezzi scontati i nostri corsi cliccando sui seguenti coupon:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Dal 2018 la società è uno dei principali sponsor dell’Atalanta, società calcistica bergamasca.
All’interno del data-leak-site (DLS) di BlackBasta è apparso recentemente un post che riporta alcuni samples dell’azienda violata e le informazioni relative al suo sito internet e all’indirizzo dell’azienda.
RHC monitorerà la questione in modo da pubblicare ulteriori news sulla vicenda, qualora ci siano novità sostanziali.
Nel caso ci siano persone informate sui fatti che volessero fornire informazioni sulla vicenda, oppure la stessa azienda voglia fare una dichiarazione, possono accedere alla sezione contatti, oppure in forma anonima utilizzando la mail crittografata del whistleblower.
Il ransomware, è una tipologia di malware che viene inoculato all’interno di una organizzazione, per poter cifrare i dati e rendere indisponibili i sistemi. Una volta cifrati i dati, i criminali chiedono alla vittima il pagamento di un riscatto, da pagare in criptovalute, per poterli decifrare.
Qualora la vittima non voglia pagare il riscatto, i criminali procederanno con la doppia estorsione, ovvero la minaccia della pubblicazione di dati sensibili precedentemente esfiltrati dalle infrastrutture IT della vittima.
Per comprendere meglio il funzionamento delle organizzazioni criminali all’interno del business del ransomware as a service (RaaS), vi rimandiamo a questi articoli:
Il recente ingresso di Black Basta nel mondo della criminalità informatica suggerisce che le informazioni sulle loro operazioni sono ancora limitate.
Il 20 aprile 2022, un utente di nome Black Basta ha pubblicato su forum underground noto come XSS.IS ed EXPLOIT.IN un post per pubblicizzare l’acquisto e la rivendita di credenziali di accesso alle reti aziendali per una quota dei profitti. L’annuncio ha anche specificato che stavano cercando organizzazioni con sede negli Stati Uniti, Canada, Regno Unito, Australia e Nuova Zelanda, che sono tutti paesi di lingua inglese.
Il 26 aprile, i primi sample di malware iniziarono a circolare, dove nello specifico il nuovo ransomware Black Basta aggiungeva l’estensione .basta ai file crittografati e cambiava lo sfondo del desktop dei sistemi operativi windows.
Black Basta ransomware per poter funzionare (come molti ransomware) ha bisogno dei diritti di amministrazione del sistema operativo ospite. In caso contrario, visualizza un messaggio sul prompt dei comandi dove richiede l’esecuzione come amministratore, sperando che qualche ignaro impiegato possa schiacciare su invio per avviare l’infezione.
Una volta eseguito il ransomware, vengono rimosse le copie shadow e disabilitato il ripristino e la riparazione di Windows e avviato il sistema operativo in modalità provvisoria generando dei file, che verranno poi utilizzati per cambiare lo sfondo del desktop e le icone dei file crittografati.
Prima di avviare il dispositivo infetto in modalità provvisoria, viene quindi cambiato lo sfondo del desktop rilasciando il file .jpg nella cartella %temp% e creando alcune voci nel registro.
Avviato il sistema operativo in modalità provvisoria, BlackBasta procede a crittografare i file, aggiungendo tutti i file crittografati con estensione .basta. La richiesta di riscatto si trova in tutte le cartelle interessate dal ransomware.
La richiesta di riscatto indica il sito onion dell’attore della minaccia e un ID azienda. Nonostante l’esecuzione dello stesso ransomware su diverse macchine virtuali, l’ID dell’azienda che viene fornito dal gruppo è lo stesso su tutti i dispositivi.
Le infezioni da ransomware possono essere devastanti per un’organizzazione e il ripristino dei dati può essere un processo difficile e laborioso che richiede operatori altamente specializzati per un recupero affidabile, e anche se in assenza di un backup dei dati, sono molte le volte che il ripristino non ha avuto successo.
Infatti, si consiglia agli utenti e agli amministratori di adottare delle misure di sicurezza preventive per proteggere le proprie reti dalle infezioni da ransomware e sono in ordine di complessità:
Sia gli individui che le organizzazioni sono scoraggiati dal pagare il riscatto, in quanto anche dopo il pagamento le cyber gang possono non rilasciare la chiave di decrittazione oppure le operazioni di ripristino possono subire degli errori e delle inconsistenze.
La sicurezza informatica è una cosa seria e oggi può minare profondamente il business di una azienda.
Oggi occorre cambiare immediatamente mentalità e pensare alla cybersecurity come una parte integrante del business e non pensarci solo dopo che è avvenuto un incidente di sicurezza informatica.
Copyright @ 2003 – 2024 RED HOT CYBER
PIVA 16821691009