▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Tattiche e tecniche di Black Basta: il palybook aggiornato

Analizzando le chat di Black Basta sono emerse informazioni utili per bloccare e prevenire gli attacchi.

Tecnologie/Scenari

L’analisi e l’ampia condivisione delle informazioni relative agli attacchi cyber è preziosa per arginare le attività criminali con una risposta corale e quindi più efficace. È un approccio su cui si basa la cybersecurity da sempre: i ricercatori, anche se impiegati in aziende concorrenti, condividono le informazioni. Le vittime dovrebbero fare lo stesso – anche se spesso, per carenza di cultura cyber, si tende a nascondere di avere subìto un attacco. L’importanza di questo approccio è evidente: una volta noto il playbook di un attaccante, ossia il modo di procedere, si può organizzare la difesa per bloccarlo.

È esattamente il lavoro che ha fatto Qualys con l’analisi della fuga di notizie che ha interessato poco tempo fa il noto gruppo ransomware Black Basta. Riavvolgiamo sinteticamente il nastro: analogamente a quanto accaduto con Conti a suo tempo, conflitti interni fra gli affiliati hanno portato alla pubblicazione dei log delle chat in lingua russa intercorse tra settembre 2023 e settembre 2024. Le informazioni condivise hanno offerto la rara opportunità di comprendere le tattiche, tecniche, operazioni e altre informazioni inedite su uno dei principali gruppi ransomware del momento.

La Threat Research Unit di Qualys ha analizzato queste comunicazioni, ricavandone importanti informazioni per i team di security, fondamentali per una difesa proattiva ed efficace. In particolare, il playbook ricavato da Qualys rivela quali sono le vulnerabilità note sfruttate dal gruppo, quali le misconfigurazioni e di quali controlli di sicurezza inadeguati o insufficienti si serve per fare breccia nei sistemi. Le discussioni interne mostrano un attivo targeting di server RDP e VPN esposti. Vengono usati anche strumenti come Shodan o Fofa (scanner automatizzati) per l’individuazione dei servizi esposti.

L’accesso iniziale è frutto di un approccio a più livelli che include lo sfruttamento di servizi esposti e configurazioni errate all’interno di istanze Jenkins CI/CD, host VMware ESXi, gateway Citrix e VPN con credenziali deboli. Non manca poi il phishing via email, compromissioni della supply chain, acquisti nel dark web, per non parlare di quando i membri di Black Basta si spacciano al telefono per personale IT, ingannando i dipendenti per farsi rivelare le credenziali. Importante è anche il vantaggio dato agli attaccanti da parte delle CVE pubblicamente conosciute ma di cui non sono state installate le patch.

Per sfuggire alla detection, gli attaccanti si affidano poi a piattaforme legittime di condivisione file per ospitare i payload dannosi, riducendo la necessità di infrastrutture personalizzate. Vengono frequentemente utilizzati malware dropper basati su MSI e VBS per consegnare payload dannosi, con Rundll32.exe utilizzato per eseguire DLL dannose. Una volta compromessa una rete, Black Basta agisce con estrema rapidità, passando dall'accesso iniziale alla compromissione dell'intera rete in poche ore, spesso anche in pochi minuti in modo da lasciare poco tempo alle vittime per rispondere.

In molti casi, la maggior parte delle attività post-exploit come l'estrazione delle credenziali, la disattivazione degli strumenti di sicurezza e l'installazione del ransomware, sono affidati a script automatizzati. Prima di distribuire il ransomware, gli attaccanti archiviano ed esfiltrano intere directory di file: le chat interne menzionano il targeting di documenti legali e finanziari e l'uso di strumenti personalizzati per automatizzare l'estrazione dei dati.

Questo modo di procedere lascia intendere che per prevenire danni su larga scala è fondamentale rilevare in tempo reale le attività illecite e fare prevenzione riducendo quanto più possibile la superficie di attacco.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato
Iscriviti alla nostra Newsletter Gratuita. Iscriviti
GoogleNews Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Speciale iperautomazione

Speciale

Speciale Backup e Resilienza 2025

Speciale

Speciale OT Security

Speciale

2025 obiettivo cybersecurity

Speciale

Previsioni per la cybersecurity del 2025

Calendario Tutto

Lug 15
Business Meeting HP | Diventa HP Extended Partner & HP Ecosystem
Lug 15
Networking on OCI: Dietro le Quinte della Rete Cloud
Lug 15
HPE TSC - Le ultime novità HPE per il tuo business a valore aggiunto
Lug 15
Cisco 360 Level Up:la transizione guidata da TD SYNNEX
Lug 16
NetApp Hybrid Cloud Associate Workshop
Lug 17
Ready Informatica Webinar | Cove Data Protection di N-able – Il tuo backup è ancorato al passato?
Lug 18
Ready Informatica Training Online | Cove Data Protection di N-able
Lug 23
Ready Informatica Training Tecnico Avanzato | Parallels RAS
Lug 23
Webinar - Selezione del personale: Un caso pratico HR con DocuWare

Ultime notizie Tutto

Patch Tuesday di luglio 2025: chiuse 137 falle, una Zero Day

Microsoft risolve 137 falle di sicurezza nel Patch Tuesday di luglio, tra cui una Zero Day su SQL Server e gravi vulnerabilità in Windows e SharePoint.

09-07-2025

AI agent e automazione no-code: la nuova era dei SOC

Agentic AI e automazione no-code: i SOC stanno cambiando faccia. Ecco come workflow intelligenti, integrazioni dinamiche e nuovi standard possono ridefinire l’incident response e il ruolo degli analisti.

09-07-2025

Acronis, come semplificare il lavoro di MSP e team IT con il patch management

Umberto Zanatta, Senior Solutions Engineer di Acronis, approfondisce come l’automazione del patch management possa semplificare le attività quotidiane, migliorare l’efficienza e assicurare una maggiore aderenza ai requisiti normativi, anche in ambienti IT complessi e distribuiti

08-07-2025

La rivoluzione quantistica nella cybersecurity: sfide e soluzioni

La rivoluzione del quantum computing mette a rischio la crittografia attuale: Umberto Pirovano di Palo Alto Networks spiega rischi, tempistiche e soluzioni post-quantum.

07-07-2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

www.securityopenlab.it - 8.3.21 - 4.6.1