Black Basta e Big Head em destaque como os ataques de ransomware mais emergentes em junho

A última edição do relatório 'Ransomware Roundup' da FortiGuard Labs da Fortinet destacou o Black Basta e o Big Head como os ataques de ransomware emergentes no mês de junho.

Black Basta

Este tipo de ransomware foi notícia por ter, alegadamente, comprometido organizações europeias e norte-americanas de diversos setores, nomeadamente outsourcing, tecnologia e indústria transformadora. Identificado em abril de 2022, expandiu as suas operações a partir dos EUA, onde terá comprometido e roubado dados de uma empresa ligada ao governo norte-americano e de uma empresa aeroespacial e de defesa dos EUA.

Com uma operação baseada num modelo de ransomware-as-a-service, com uma infraestrutura para processamento de pagamentos, negociação de resgates e apoio técnico aos afiliados. Caso um afiliado consiga fazer com que a vítima pague um resgate, o Black Basta recebe uma parte. 

Recorre a técnicas como o spearphishing e aquisição de acesso através de Initial Access Brokers e também utiliza a malware de outros grupos para obter acesso. A exploração das vulnerabilidades PrintNightmare (CVE-2021-34527) e Follina (CVE-2022-30190) também foi registada.

Esta componente de ransomware foi elaborada como um executável do Windows e, posteriormente, como um executável do Linux.

De acordo com o site 'Black Basta data leak', mais de 200 vítimas são originárias da América do Norte e da Europa e mais de 60% das alegadas vítimas são organizações norte-americanas. Mais de 25% das vítimas pertencem aos setores da indústria transformadora, construção, serviços e retalho. Contudo, o setor jurídico, as finanças, os armazéns e as TI são outras áreas afetadas.

Do grupo de vítimas mais antigas fazem parte 12 países, enquanto no segundo e terceiro grupo de vítimas incluem-se apenas oito países. No último grupo de vítimas, o mais recente, contabilizam-se apenas seis países.

Big Head

Com pelo menos três variantes, o ransomware Big Head foi lançado em maio de 2023 com o objetivo de encriptar ficheiros nos equipamentos das vítimas de forma a extorquir dinheiro.

Uma das variantes apresenta uma falsa atualização do Windows e uma outra tem um ícone do Microsoft Word, tendo sido provavelmente distribuída como software falsificado.

O ransomware apresenta pelo menos duas variantes, designadas como A e B.

No caso da primeira, é exibida uma janela falsa de atualização do Windows para levar os utilizadores a acreditar que se trata de um procedimento legítimo. Esta “falsa” atualização dura 30 segundos. Quando concluída, o ransomware já encriptou ficheiros em equipamentos comprometidos. Apresenta depois uma nota de resgate designada “README” onde exige que as vítimas contactem o atacante por email ou telegrama para a desencriptação dos ficheiros e reposição dos dados.

Na caso da variante B – designada Big Head - apesar de não ter encriptado quaisquer ficheiros no ambiente de teste, foi igualmente concebida para encriptar ficheiros em equipamentos comprometidos. Recorre a um ficheiro PowerShell designado “cry.ps1” para proceder à encriptação de ficheiros. À semelhança do que acontece na variante A, a nota de resgate exige às vítimas que contactem o atacante através do endereço de email ou canal de telegrama. Neste caso, a nota inclui uma baixa taxa de resgate em Bitcoin, o que indica que o ransomware Big Head é também utilizado para atingir consumidores.

A maioria dos ataques do ransomware Big Head foram enviados a partir dos EUA.