L’ombra di uno dei collettivi di cybercriminali più pericolosi al mondo si è abbattuta sull’Azienda Comunale per l’Energia e l’Ambiente di Roma.

Gli attacchi ransomware non sono una novità per il mondo moderno. Interi collettivi criminali e cybergang si adoperano per trovare le falle nei sistemi di monitoraggio delle più rinomate aziende del pianeta, con l’obiettivo di sottrarre loro dati sensibili ed estorcere denaro.
Solitamente tra i primi sintomi di un attacco ransomware c’è l’impossibilità per gli utenti di accedere ai siti web e ai portali amministrati dall’azienda vittima.
Questo è proprio ciò che è accaduto ad Acea, una società impegnata nell’erogazione di servizi energetici operante nell’area comunale di Roma.

Dietro l’attacco si staglia l’ombra di un collettivo subdolo e molto pericoloso, che risponde al nome di Black Basta.
Ma andiamo con ordine e affrontiamo per gradi l’argomento.

Black Basta ransomware
  1. Due parole su Black Basta
  2. Attacco ad Acea
  3. Come funziona il ransomware di Black Basta?
  4. Epilogo dell’attacco ad Acea
  5. Come proteggersi da un Ransomware-as-a-Service?

Due parole su Black Basta

Black Basta è un collettivo di criminali informatici che ha dato il via alle sue operazioni ad aprile 2022 e che attualmente conta 75 vittime accertate.
Come al solito l’arma prediletta resta un ransomware che agisce in maniera estremamente simile a quelli di cui si è sempre discusso: criptazione dei file critici per il funzionamento del sistema operativo, estrazione dei dati sensibili dai sistemi vittima, doppia estorsione con riscatti dalle cifre elevate e minaccia di rendere di pubblico dominio quanto è stato trafugato.

Analizzando il modus operandi del collettivo, il Malware Hunter Team è giunto ad una conclusione piuttosto singolare: Black Basta non usa un ransomware proprietario, ma uno già esistente in vendita sui black market del deep web.
Il gruppo non è assolutamente da sottovalutare, poiché al suo interno operano ex membri del temuto collettivo Conti, che hanno collegamenti diretti con la Russia e seguono le orme di altri criminali noti, come ad esempio la cyber gang Rhysida.

Black Basta rivendica i suoi attacchi sul loro sito in hosting su rete Tor, chiamato Basta News. Allo scadere dell’ultimatum, su questo vengono resi pubblici i dati sensibili delle aziende che si sono rifiutate di pagare loro il riscatto richiesto.

Tra le vittime più in vista del collettivo, oltre ad Acea, si citano:

  • American Dental Association
  • IMA Schelling Group
  • Deutsche Windtechnik
  • Lacks
  • Lechler S.p.A.

Attacco ad Acea

Acea, acronimo di Agenzia Comunale Energia e Ambiente, è un’agenzia operante nel settore della produzione e distribuzione di energia elettrica, della gestione dei rifiuti e del servizio idrico di Roma. Il collettivo Black Basta l’aveva presa di mira sin da dicembre 2022, scatenando un attacco ransomware in piena regola il 2 febbraio 2023.

Il primo campanello di allarme è stata l’irraggiungibilità del sito web aziendale da parte degli utenti, a cui è seguita una comunicazione diretta dell’azienda, in cui affermava di star collaborando con ACN e il nucleo CNAIPIC della Polizia Postale. Ciò ha fatto comprendere che Acea era vittima di un attacco ransomware e che il coinvolgimento di altri due enti, era una risposta tempestiva per mitigare i danni derivanti dalla breccia nella sua sicurezza.

La prima misura cautelare adottata dall’azienda è stata disattivare in toto i server vittima del ransomware, in modo da non impattare sui servizi essenziali riservati alla città di Roma e ripristinare i regolari servizi IT. Tuttavia, la sicurezza dei dati sensibili degli utenti, che accedono alla loro rispettiva area riservata sul sito web di Acea stessa per verificare l’erogazione dei servizi, è stata ampiamente messa in discussione.

L’impossibilità di accedere al sito per le giornate del 2, 3 e 4 febbraio 2023 ha comunque generato un impatto sui clienti dell’azienda.

Come funziona il ransomware di Black Basta?

Il ransomware Black Basta appartiene alla categoria di Ransomware-as-a-Service in vendita sul dark web, a cui il collettivo ha effettuato un re-branding. Dalle analisi condotte, questo malware è scritto interamente in linguaggio C++ e fa un uso combinato di ChaCha20 e RSA-4096 per la criptazione dei dati. Questo rende il processo estremamente veloce ed efficace, in quanto i dati sono criptati in blocchi da 64 byte ciascuno e separati tra loro da un blocco da 128 byte di dati non criptati.

Mediante un’operazione di phishing, mirata al download di un innocuo software per il monitoraggio della sicurezza, Black Basta si infiltra nei sistemi aziendali, inizia l’estrazione dei dati sensibili dalle macchine infettate e li invia direttamente al server gestito dal collettivo. A procedura compiuta si passa alla criptazione di quanto resta in memoria, rendendo di fatto inutilizzabili i computer aziendali.

Tra i pochissimi file utilizzabili resta un README.txt, che rappresenta il primo contatto tra criminali e vittime.
Qui Black Basta informa l’azienda che è stato condotto contro di lei un attacco ransomware, viene impiegata la doppia estorsione con minaccia di pubblicazione completa di quanto trafugato e si dà un monito di non mettersi in contatto con alcuna autorità.

È stato dimostrato che il ransomware ha necessità dei privilegi di amministratore per funzionare e che dopo prenderà il controllo di un servizio lecito di Windows. Quest’ultimo cambia a seconda della configurazione adottata dal collettivo nella fase precedente all’attacco vero e proprio.

Epilogo dell’attacco ad Acea

Nella giornata del 5 febbraio 2023 il sito web di Acea è tornato operativo, così come l’accesso per gli utenti alle loro aree riservate.
La comunicazione di aver risolto l’attacco, grazie alla collaborazione congiunta tra ACN e CNAIPIC, è giunta attraverso il portale dell’azienda. Tuttavia, dettagli inerenti danni subiti e la compromissione dei dati sensibili non sono stati pubblicati.

Questi sono arrivati alcune settimane dopo, quando il 16 marzo 2023 Acea è apparsa tra le vittime accertate di Black Basta sul loro sito Tor.
Nello stesso si dichiara che il 100% dei dati trafugati è stato pubblicato: segno che l’azienda non è scesa a patti con i criminali.

Ciò che stupisce è l’ingente quantità di informazioni rese di pubblico dominio dal collettivo criminale, per un totale di 810 GB. Tra questi figurano svariati archivi compressi, tra cui uno chiamato BOLLETTE e dal peso non indifferente di 454 GB. Ciò rende chiaro come i dati personali dei clienti di Acea siano ormai divenuti di pubblico dominio.

Come proteggersi da un Ransomware-as-a-Service?

I ransomware come Black Basta sono senza dubbio i più insidiosi, perché vengono venduti alla stregua di veri e propri servizi in costante aggiornamento. Ciò che rende le cose ancora più pericolose e preoccupanti, è la possibilità di apportare modifiche software anche da parte di chi li acquista, in modo da realizzare la propria variante personalizzata.

Una procedura per poter prevedere un attacco di questo genere è pressoché impossibile, ma restano sempre dei consigli su come poter evitare una possibile infezione e mitigare i danni.

  • Aggiornare sempre e i software di sistema e i protocolli di sicurezza.
    Ci si deve assicurare che la propria organizzazione e i clienti ad essa associati adottino robuste politiche di sicurezza. Tutti i sistemi, l’hardware e i software in uso devono essere costantemente aggiornati con puntualità. Ciò riduce di molto le possibilità di un’infezione da ransomware.
  • Adottare una soluzione di filtraggio e-mail efficace.
    Poiché questo tipo di ransomware sfrutta come entry point la posta elettronica, è obbligatorio adottare un filtro in grado di rilevare e-mail di spoofing, phishing e contenenti file malevoli sin dal principio.
  • Implementare un piano di monitoraggio degli endpoint affidabile.
    Senza alcun endpoint sicuro e monitorato, i cybercriminali possono identificare immediatamente le vulnerabilità presenti nella rete della compagnia. Una rete con endpoint rafforzati e monitoraggio costante scoraggia i collettivi a tentare un attacco e permette all’organizzazione di individuare potenziali falle in maniera proattiva.
  • Istruire i propri clienti alle migliori pratiche e limitare i loro privilegi utente.
    L’infiltrazione mirata ad un attacco non avviene tramite l’azienda stessa, ma tramite i clienti ad essa associati, che rappresentano i soggetti più esposti a tali pratiche. Per cui è necessario doverli istruire con pratiche di sicurezza base e spingerli all’uso dell’autenticazione in due fattori sui loro dispositivi. Questo non solo permette alla propria organizzazione di rafforzare la propria cybersecurity, ma aiuta anche i clienti a proteggersi.
  • Effettuare un backup del database e dei propri servizi online.
    Le operazioni di backup sono sempre una delle migliori soluzioni per mitigare i danni e non perdere le informazioni sensibili dei propri clienti. Tuttavia, l’immagine di ripristino risultante deve essere conservata su un server lontano dalla rete principale, in quanto una sua eventuale compromissione vanificherebbe tutti gli sforzi condotti.

In conclusione

Black Basta rappresenta una delle principali minacce informatiche attualmente esistenti. Le loro tattiche aggressive, la predisposizione a rendere di pubblico dominio tutti i dati sensibili ottenuti dalle vittime, il loro ransomware in continua evoluzione e l’ombra di Conti tra i suoi membri, ne fanno uno dei collettivi criminali più pericolosi al mondo.

Il mondo digitale è in rapida evoluzione e se si vuole continuare a condurre la propria attività economica e sociale, l’adozione di adeguate misure di protezione e prevenzione rappresenta di fatto l’unica via percorribile.