Svelati circa 200.000 messaggi privati tra i membri di un gruppo di hacker
TL;DR: La comunità della cybersecurity ha ottenuto uno sguardo senza precedenti sul funzionamento di uno dei gruppi di ransomware più attivi al mondo. Mentre gli esperti esaminano il vasto numero di informazioni fornite da questa fuga di notizie, è probabile che emergano nuove rivelazioni sulle tattiche, gli obiettivi e la dinamica interna del gruppo Black Basta.
In una violazione senza precedenti, più di un anno di comunicazioni interne del noto sindacato ransomware Black Basta sono state divulgate online, rivelando i meccanismi interni, le strategie e i conflitti interni di uno dei gruppi di cybercriminali più attivi e pericolosi di oggi.
La fuga di notizie comprende oltre 200.000 messaggi scambiati dai membri di Black Basta sulla piattaforma di chat Matrix tra settembre 2023 e settembre 2024. La fonte della fuga di notizie rimane sconosciuta – è stata pubblicata da un utente chiamato “ExploitWhispers” su MEGA e successivamente su Telegram – ma l’individuo responsabile sostiene che l’azione è stata intrapresa in risposta agli attacchi di Black Basta alle banche russe. Non è chiaro se il responsabile della fuga sia un insider o un attore esterno che è riuscito ad accedere a queste comunicazioni confidenziali.
Le chat interne di BlackBasta sono state esposte, dimostrando ancora una volta che i criminali informatici sono i loro peggiori nemici. Continuate a bruciare le nostre fonti di intelligence, non ci dispiace. 😉 pic.twitter.com/6So7dl7xXn
– PRODAFT (@PRODAFT) 20 febbraio 2025
La reputazione di Black Basta come minaccia formidabile alla sicurezza informatica globale è ben consolidata. Nel 2023, l’FBI e l’Agenzia per la Sicurezza delle Infrastrutture e della Cybersecurity hanno riferito che il gruppo aveva preso di mira 12 dei 16 settori infrastrutturali critici negli Stati Uniti, con attacchi a 500 organizzazioni in tutto il mondo. Tra le vittime di alto profilo figurano Ascension, un importante fornitore di assistenza sanitaria statunitense, Hyundai Europa, la società di outsourcing britannica Capita, l’Agenzia Doganale del Governo Cileno e Southern Water, una compagnia di servizi idrici del Regno Unito.
Le comunicazioni trapelate rivelano significative tensioni interne nel gruppo, in particolare dopo l’arresto di uno dei suoi leader. Questo evento ha aumentato la paura tra i membri riguardo a una possibile esposizione alle forze dell’ordine. L’attuale leader, ritenuto essere Oleg Nefedov, è stato criticato dai suoi sottoposti per decisioni che hanno messo il gruppo a maggior rischio, inclusa l’azione di prendere di mira una banca russa.
Gli esperti che hanno analizzato i testi in lingua russa hanno scoperto dettagli su altri membri chiave di Black Basta, tra cui due amministratori noti come Lapa e YY, e un attore di minaccia chiamato Cortes, che ha legami con il gruppo ransomware Qakbot.
I registri delle chat di BlackBasta contengono messaggi che vanno dal 18 settembre 2023 al 28 settembre 2024. Analizziamo le dichiarazioni divulgate dal responsabile della fuga:
– Lapa è uno degli amministratori chiave di BlackBasta e è costantemente impegnato con compiti amministrativi. Tenendo… https://t.co/KxQVKZBp75 pic.twitter.com/BibWU5P9e8
– 3xp0rt (@3xp0rtblog) 20 febbraio 2025
Le comunicazioni trapelate confermano anche ciò che molti ricercatori di cybersecurity hanno scoperto o teorizzato sul gruppo. Di solito iniziano gli attacchi tramite e-mail di phishing contenenti collegamenti dannosi, spesso utilizzando file zip protetti da password che, quando aperti, installano il trojan bancario Qakbot. Questo trojan stabilisce una backdoor e distribuisce SystemBC per creare una connessione criptata a un server di comando e controllo.
Una volta all’interno di una rete, Black Basta utilizza Cobalt Strike per il riconoscimento e per distribuire ulteriori strumenti attraverso la rete compromessa. Il gruppo utilizza anche software legittimi di accesso remoto per mantenere la persistenza, mentre disabilita gli antivirus e i sistemi di rilevazione degli endpoint. Per il furto e l’esfiltrazione dei dati, si affidano a strumenti come Mimikatz e Rclone.
La fase di distribuzione del ransomware implica la crittografia dei file con l’estensione “.basta” come parte di una strategia di estorsione doppia. Curiosamente, Black Basta non presenta immediatamente le richieste di riscatto, ma dà alle vittime una finestra di 10-12 giorni per contattarli prima di potenzialmente divulgare i dati rubati. Il gruppo ha anche adottato tecniche di social engineering, inclusi telefonate per stabilire un contatto iniziale con il personale aziendale, simili ai metodi utilizzati da altri gruppi di criminali informatici come Scattered Spider.
Il processo di selezione dei bersagli di Black Basta è metodico, mantenendo un foglio di calcolo delle vittime potenziali piuttosto che scegliere bersagli a caso. Sfruttano piattaforme di business intelligence come ZoomInfo per ricercare e selezionare i loro obiettivi, dimostrando un approccio calcolato alle loro operazioni.
Sfruttando questo tesoro di informazioni, la società di sicurezza Hudson Rock ha alimentato le trascrizioni delle chat in ChatGPT. Il risultato è BlackBastaGPT, una nuova risorsa per aiutare i ricercatori ad analizzare le operazioni di Black Basta più efficacemente.
Messaggi simili:
- CVE, il Tracker Universale di Bug a rischio: come gli USA hanno quasi causato il suo declino
- Direttore dell’intelligence USA Tulsi Gabbard: stessa password debole per Gmail, Dropbox e LinkedIn!
- Chi lo disse nel 2004: ‘Tra due anni, lo spam via email sarà risolto’
- FBI Cambia Approccio: Raccomanda la Cifratura per Proteggere le Chat Telefoniche
- Britney Spears ha scritto a Kristin Cavallari riguardo alla teoria del complotto: “spaventata”
Nicola Costanzo esplora il mondo della tecnologia e dell’innovazione. I suoi articoli illuminano le sfide digitali che plasmano il nostro futuro.