Ransomware Shock: Black Basta e CACTUS uniti dal modulo BackConnect!

News
Visite: 228

Recenti analisi hanno evidenziato che i gruppi di ransomware Black Basta e CACTUS condividono l'utilizzo del modulo BackConnect (BC) per mantenere il controllo persistente sugli host infetti. Questa scoperta suggerisce che affiliati precedentemente associati a Black Basta potrebbero aver fatto il passaggio a CACTUS. Trend Micro ha sottolineato come, una volta infiltrati, gli attori malevoli ottengano la capacità di eseguire comandi da remoto, consentendo loro di rubare dati sensibili come credenziali di accesso e informazioni finanziarie.

Il modulo BC, noto anche come QBACKCONNECT a causa delle somiglianze con il loader QakBot, è stato documentato per la prima volta a gennaio 2025 da Walmart Cyber Intelligence e Sophos, che ha denominato il cluster come STAC5777. Negli ultimi anni, le catene di attacco di Black Basta hanno sfruttato con sempre maggiore frequenza tattiche di email bombing per ingannare le vittime potenziali, inducendole a installare Quick Assist fingendosi personale di supporto IT.

Una volta ottenuto l'accesso, viene utilizzato un loader DLL malevolo ("winhttp.dll") denominato REEDBED, tramite OneDriveStandaloneUpdater.exe, per decriptare ed eseguire il modulo BC. Questo spostamento verso altri metodi di accesso iniziale è stato causato da un'operazione delle forze dell'ordine che ha smantellato l'infrastruttura di QakBot, storicamente utilizzata da Black Basta per accedere inizialmente alle reti aziendali.

Trend Micro ha osservato un attacco ransomware di CACTUS che utilizzava lo stesso modus operandi per distribuire BackConnect e compiere azioni post-esploit come il movimento laterale e l'esfiltrazione di dati, sebbene i tentativi di criptare la rete della vittima siano falliti. Un'altra connessione tra Black Basta e CACTUS è l'uso di uno script PowerShell chiamato TotalExec, utilizzato per automatizzare la distribuzione dell'encryptor.

La convergenza di queste tattiche assume particolare rilievo alla luce delle recenti fughe di chat log di Black Basta, che hanno svelato il funzionamento interno del gruppo e la sua struttura organizzativa. È emerso che i membri di questa crew, motivata finanziariamente, hanno condiviso credenziali valide, alcune delle quali provenienti da log di information stealer. Altri punti di accesso iniziale rilevanti includono portali RDP e endpoint VPN.

Trend Micro ha concluso che ci sono prove che suggeriscono un passaggio da parte di alcuni membri del gruppo Black Basta a quello CACTUS, basato sull'analisi di tattiche, tecniche e procedure similari utilizzate dal gruppo CACTUS.

Pin It
, , , , ,

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
  • Ethical Hacking
  • Red Teaming
  • Penetration Testing
  • Security Code Review
  • SOC 24x7
  • Formazione specialistica
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:30 - 13:00
14:00 - 18:30

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2025 Fata Informatica. Tutti i diritti riservati.