Black Basta Ransomware, già attivo dall'aprile 2022, torna a colpire enti e imprese italiane. Come tutti i ransomware si tratta di una tipologia di malware che viene introdotto all'interno di un'organizzazione e ne cifra i dati in esso contenuti, richiedendo poi alla vittima il pagamento di un riscatto per poterli decifrare.
I ricercatori di
CRAM della
TG Soft Cyber Security Specialist hanno avuto modo di verificare le proprie tecnologie Euristico Comportamentali per il contrasto anche dalle varianti di questa tipologia di attacchi Ransomware ed, anche in questa occasione, tali tecnologie, sviluppate a partire dal 2014 e rese disponibili dal 2015, si sono dimostrate efficaci ed efficienti per bloccare l'attacco informatico, avviato in qualsivoglia modalità, in automatico entro 100 millisecondi {1 decimo di secondo => un battito di ciglia} dall'avvio del processo di cifratura.
Forse non è superfluo precisare che il processo di cifratura dei file è stato bloccato in automatico senza avere già caricata a bordo la firma / Signature del file dal quale viene avviato tale processo...se così fosse stato i file cifrati sarebbero stati 0 {zero}!
Di seguito qualche info di payload dagli Analisti dagli Analisti del CRAM di TG Soft su BlackBasta Ransomware.
Struttura file cifrati ransomware BlackBasta:
| [<NOME_FILE_ORIGINALE>.<ESTENSIONE_ORIGINALE>.basta |
Come si può notare il Ransomware aggiunge l'estensione ''
basta'' dopo l'estensione del file originale.
Di seguito riportiamo l'immagine del file di testo
readme.txt che viene generato dai cyber-criminali e che contiene le istruzioni per avviare la trattativa per il pagamento attraverso web chat, accessibile tramite il link fornito con login personalizzato.
Dall'attacco che abbiamo attivato su una nostra infrastruttura reale con un sample recuperato da un attacco effettivo la protezione euristico-comporamentale di VirITeXplorerPRO AntiRansomware protezione CryptoMalware è intervenuta nell'ordine dei 100 millisecondi {1/10° di secondo} dall'avvio del processo di cifratura ove il ransomware è riuscito a cifrare un ridotto numero di file 12 complessivamente tutti file esca salvando dalla cifratura il 99,94% dei file presenti sul PC / Server ivi presente, ed avendo cifrato soli file esca, ha salvato il 100% dei file utente.
La macchina, da dove è stato avviato il processo malevolo simulando un attacco HoR (HumanOperatedRansomware Attack) è stata automaticamente isolata, dalle nostre tecnologie, dal resto della rete di modo da evitare che l'attacco ransomware possa propagarsi all'intera infrastruttura, portando a terminazione il processo e salvando, mediamente, il 99,99% dei file di lavoro dell'utente presenti in quella macchina (client o server indifferentemente).
Vir.IT Anti-Ransomware protezione Crypto-Malware
TG Soft ha sviluppato ed integrato già dal maggio 2015 nella suite
Vir.IT eXplorer PRO UNICO prodotto con motore proprietario sviluppato al 100% in Italia, AntiVirus, AntiSpyware e AntiMalware, le
tecnologie AntiRansomware protezione Crypto-Malware che, attraverso l'approccio euristico-comportamentale, sono in grado di bloccare il processo di cifratura nella fase iniziale dell'attacco salvando, mediamente, non meno del 99,63% dei file di dati che il Ransomware avrebbe potuto cifrare se non vi fosse stata questa protezione.
Inoltre come ultimo paracadute per qualche file di dati che eventualmente non fosse nè ripristinabile nè recuperabile dai tool integati di ripristino/recupero si potrà provvedere al loro ripristino da
Vir.IT BackUp presente ed integrato sempre nella suite Vir.IT eXplorer PRO.
Per maggiori info su queste tecnologie che, è bene ricordarlo, sono al 100% sviluppate in Italia è possibile consultare le modalità operative per rapportarsi con il personale di TG Soft Cyber Security Specialist dettagliate alla seguente pagina:
https://www.tgsoft.it/clienti/assistenza.asp.
C.R.A.M.
Centro Ricerche Anti-Malware di TG Soft
