Latest news

Analisi Black Basta: importanza del patching nella sicurezza

Il gruppo ransomware Black Basta è emerso nel 2022, distinguendosi per attacchi sofisticati e mirati a diverse organizzazioni a livello globale. Recentemente, una fuga di chat interne ha fornito una visione dettagliata delle loro operazioni e tattiche; si tratta di circa 200.000 messaggi interni che forniscono diversi dettagli operativi sulle operazioni di Black Basta, offrendo uno spunto per acquisire preziose informazioni utili a migliorare le difese contro tali minacce.

Noto per i suoi attacchi mirati a organizzazioni di vari settori, Black Basta utilizza tecniche di doppia estorsione, crittografando i dati delle vittime e minacciando di pubblicarli online se non viene pagato un riscatto.

Un’analisi dettagliata di questi log ha rivelato che Black Basta menziona 62 CVE (Common Vulnerabilities and Exposures) unici, di cui l’85,5% è noto per essere sfruttato attivamente e il 70,9% è incluso nel catalogo CISA KEV.

Se non lo conoscevate prima, iCISA KEV (Known Exploited Vulnerabilities Catalog) è uno strumento fondamentale per la cybersecurity, gestito dalla Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti. Questo catalogo elenca le vulnerabilità note che sono attivamente sfruttate da gruppi di cybercriminali, inclusi i ransomware come Black Basta. Le organizzazioni sono incoraggiate a monitorare e correggere queste vulnerabilità per ridurre il rischio di attacchi.

Questo indica una chiara preferenza del gruppo per vulnerabilità già note e con exploit disponibili, focalizzandosi su tecnologie enterprise ampiamente diffuse come Citrix NetScaler, Atlassian Confluence, Fortinet, Cisco, Palo Alto, CheckPoint e Microsoft Windows.

a black and red lock on a glass surface

Attacchi noti di Black Basta

  • Settore Sanitario: Black Basta ha preso di mira il settore sanitario, con attacchi a organizzazioni come Ascension Health negli Stati Uniti.

  • Servizi Governativi: nel Regno Unito, il gruppo ha attaccato Capita, un importante fornitore di servizi governativi.

  • Banche Russe: un attacco a banche russe ha portato a conflitti interni nel gruppo, culminando nella fuga delle loro chat interne.

Tattiche e tecniche utilizzate

  • Sfruttamento di vulnerabilità note: Black Basta mostra una chiara preferenza per vulnerabilità già note con exploit disponibili, focalizzandosi su tecnologie enterprise ampiamente diffuse come Citrix NetScaler, Atlassian Confluence, Fortinet, Cisco, Palo Alto Networks e Microsoft Windows.

    Velocità di sfruttamento: il gruppo discute nuove vulnerabilità entro pochi giorni dalla pubblicazione di avvisi di sicurezza, dimostrando una rapida capacità di adattamento.

    Tecniche di ingegneria sociale: in alcuni casi, Black Basta ha utilizzato campagne di spam seguite da contatti tramite Microsoft Teams o telefonate da falsi addetti all’assistenza per convincere le vittime a concedere l’accesso ai loro sistemi.

Principali vulnerabilità e prodotti presi di mira

L’analisi dei log evidenzia che Black Basta concentra i suoi attacchi su dispositivi di accesso iniziale e tecnologie Microsoft. Tra le vulnerabilità più frequentemente menzionate troviamo:

  • Fortinet: CVE-2024-23109, CVE-2024-23108, CVE-2024-21762, CVE-2024-23113
  • Citrix NetScaler: CVE-2023-3519, CVE-2023-3467, CVE-2023-3466, CVE-2023-4966
  • Palo Alto Networks PAN-OS: CVE-2024-3400
  • CheckPoint: CVE-2024-24919
  • F5 Big-IP: CVE-2022-1388
  • Juniper OS: CVE-2023-36845, CVE-2023-36844
  • ConnectWise: CVE-2024-1709, CVE-2024-1708
  • Microsoft Windows: CVE-2020-1472, CVE-2021-40444, CVE-2021-42287, CVE-2021-42278, CVE-2022-30190, CVE-2022-37969, CVE-2023-36874, CVE-2023-36884, CVE-2024-21338, CVE-2024-26169, CVE-2023-36394, CVE-2023-35628
  • Zyxel: CVE-2022-30525
  • Atlassian Confluence: CVE-2021-44228, CVE-2024-21683, CVE-2023-22515, CVE-2022-26134
  • Brick Builders WordPress Theme: CVE-2024-25600
  • Cisco: CVE-2023-20198
  • GitLab: CVE-2023-7028
  • Google Chrome: CVE-2022-0609
  • Intel: CVE-2017-5754, CVE-2017-5753
  • JetBrains: CVE-2024-27198
  • Jenkins: CVE-2024-23897
  • Linux: CVE-2024-1086
  • RARLAB: CVE-2023-38831
  • VMware Spring: CVE-2022-22965
  • Microsoft SharePoint: CVE-2023-29357
  • Microsoft Office: CVE-2023-23397, CVE-2023-21716, CVE-2017-11882

Inoltre, Black Basta sembra focalizzarsi su servizi email e di comunicazione, sfruttando vulnerabilità in:

  • Microsoft Exchange: CVE-2021-26855, CVE-2021-28482, CVE-2021-42321, CVE-2022-41040, CVE-2022-41082, CVE-2023-36745
  • Microsoft Outlook: CVE-2024-21378, CVE-2024-21413
  • Exim: CVE-2023-42115
  • Zimbra: CVE-2022-27925, CVE-2022-37042, CVE-2022-41352
  • Plugin SMTP per WordPress: CVE-2023-6875, CVE-2023-7027

Come possiamo notare osservando le date di riferimento delle CVE non si tratta di ZeroDay o vulnerabilità particolarmente recenti, visto che durante gli attacchi sono emersi sfruttamenti di vulnerabilità di alcuni anni fa e che di conseguenza non sono state patchate/mitigate. Inoltre notiamo come il mancato patching delle applicazioni di terze parti coinvolte in questo report, sia un ulteriore elemento significativo.

black basta chats

L’importanza di un processo di patching efficace

Gli attacchi ransomware spesso si basano su vulnerabilità note e facilmente sfruttabili. L’analisi delle chat interne di Black Basta ha confermato che il gruppo prende di mira CVE ampiamente documentate e sfruttabili con strumenti pubblicamente disponibili. Questo significa che:

  • un’infrastruttura non aggiornata diventa un bersaglio facile.
  • Il tempo medio tra la pubblicazione di una vulnerabilità e il suo sfruttamento da parte degli attaccanti è sempre più breve.
  • Il patching reattivo (cioè solo dopo un incidente) non è sufficiente a proteggere un’organizzazione.

Per questo motivo, un processo di patching proattivo e strutturato è fondamentale per garantire la sicurezza aziendale.

Patching di terze parti: un punto critico nella sicurezza aziendale

Molti attacchi non avvengono direttamente tramite software sviluppato internamente, ma attraverso applicazioni di terze parti, spesso trascurate nei piani di aggiornamento. Black Basta, ad esempio, ha sfruttato vulnerabilità in:

  • Fortinet FortiOS (CVE-2024-23113)
  • VMware Spring (CVE-2022-22965)
  • Atlassian Confluence (CVE-2022-26134)
  • Microsoft Exchange e Outlook (CVE-2023-23397, CVE-2022-41082)

Le organizzazioni spesso sottovalutano il patching di queste piattaforme perché il focus è rivolto ai sistemi operativi e agli applicativi principali. Tuttavia, anche i software di terze parti devono rientrare in un processo di patching centralizzato per evitare vulnerabilità critiche che possono fornire un punto d’ingresso agli attaccanti.

Come implementare un processo di patching strutturato

È fondamentale che tutte le organizzazioni adottino un processo ben strutturato per la gestione delle vulnerabilità. Questo processo dovrebbe includere diverse fasi chiave: partendo dall’identificazione e dall’analisi delle vulnerabilità, resa possibile da molte soluzioni di sicurezza disponibili sul mercato, fino all’applicazione delle patch necessarie e alla successiva verifica per assicurarsi che le correzioni siano state implementate correttamente e che i sistemi siano effettivamente sicuri. Un approccio sistematico e completo è essenziale per ridurre i rischi e proteggere l’infrastruttura IT da potenziali attacchi.

1. Mappatura delle vulnerabilità

  • Creare un inventario di tutti i sistemi, software e servizi di terze parti.
  • Utilizzare strumenti di vulnerability scanning per identificare criticità

2. Classificazione e priorità

  • Valutare il rischio di ogni vulnerabilità in base alla gravità (es. CVSS score) e all’esposizione della rete.
  • Dare priorità a vulnerabilità già sfruttate attivamente, come quelle catalogate nella CISA KEV (Known Exploited Vulnerabilities).

3. Automazione del patching

  • Implementare strumenti di patch management per automatizzare l’aggiornamento di OS e applicativi di terze parti.
  • Integrare aggiornamenti in finestre di manutenzione programmate per minimizzare disservizi.

4. Monitoraggio e verifica

  • Eseguire test post-patch per verificare la stabilità del sistema.
  • Monitorare eventuali exploit zero-day per mitigare i rischi nel periodo tra la pubblicazione della CVE e la disponibilità della patch.

Implicazioni per la sicurezza

Per proteggersi, le organizzazioni dovrebbero:

Rimanere informati sulle tattiche dei gruppi ransomware è essenziale per sviluppare strategie di difesa efficaci e proteggere le infrastrutture critiche.

patching sicurezza

Conclusione

Gli attacchi ransomware come quelli di Black Basta dimostrano che gli attori malevoli sfruttano vulnerabilità note e facilmente patchabili. Un processo di patching ben strutturato, che includa sia sistemi aziendali che software di terze parti, è la chiave per ridurre il rischio di attacchi e proteggere l’infrastruttura IT.

Hai bisogno di maggiori informazioni?

I nostri esperti IT sapranno certamente aiutarti!

Contattaci
My Agile Privacy

Questo sito utilizza cookie tecnici e di profilazione. 

Puoi accettare, rifiutare o personalizzare i cookie premendo i pulsanti desiderati. 

Chiudendo questa informativa continuerai senza accettare. 

Inoltre, questo sito installa Google Analytics nella versione 4 (GA4) con trasmissione di dati anonimi tramite proxy. 

Prestando il consenso, l'invio dei dati sarà effettuato in maniera anonima, tutelando così la tua privacy. 

AccettaRifiutaPersonalizza