Black Basta: come difendersi dal Playbook

Una massiccia fuga di chat interne del gruppo ransomware Black Basta ha rivelato dettagli preziosi sulle loro tattiche, operazioni e leadership, a causa di conflitti interni e ritorsioni dopo attacchi a banche russe. La Threat Research Unit di Qualys ha analizzato queste informazioni, offrendo consigli pratici ai team di sicurezza. Tra le principali raccomandazioni: applicare subito le patch, rafforzare i controlli di accesso e migliorare la risposta agli incidenti. L’obiettivo è aiutare le organizzazioni a difendersi meglio dai ransomware e limitare i danni.

Come funziona l’attacco

Capire le tattiche di Black Basta è essenziale per proteggere le aziende. Il gruppo ransomware sfrutta vulnerabilità note, configurazioni errate e controlli deboli per accedere ai sistemi. Le chat interne rivelano che prendono di mira server RDP esposti, autenticazioni fragili e usano malware camuffati da file legittimi. I principali metodi di attacco includono lo sfruttamento di VPN e RDP con credenziali deboli o rubate, oltre a vulnerabilità non patchate (CVE). Utilizzano anche droppers MSI/VBS, eseguono DLL malevole con Rundll32.exe e puntano al furto di credenziali e all’escalation dei privilegi.

 Le 20 CVE sfruttate dai Gruppi ransomware Black Basta

Le chat trapelate di Black Basta hanno svelato il loro “Playbook”, ovvero una lista di vulnerabilità specifiche che sfruttano per attaccare le aziende. Per i team di sicurezza, questa è una chiara chiamata all’azione: applicare subito le patch. Qualys conferma di offrire protezione per tutte le 62 CVE individuate nei documenti e sottolinea l’urgenza di intervenire su queste vulnerabilità già attivamente sfruttate.

Configurazioni errate critiche da correggere

La tabella sottostante evidenzia le principali configurazioni errate sfruttate regolarmente dagli operatori del ransomware Black Basta – vulnerabilità reali e fondamentali per il loro flusso di lavoro degli attacchi. Poiché gli attaccanti stanno attivamente scansionando il perimetro alla ricerca di queste debolezze, Qualys consiglia di trattarle come problemi da “patchare subito” per rimanere un passo avanti rispetto alle minacce ransomware.

Come agisce il ransomware

Black Basta utilizza un approccio multilivello per colpire le aziende, combinando furto di credenziali, exploit di servizi vulnerabili (come RDP), ingegneria sociale e tecniche di persistenza. Ottenendo accesso tramite phishing, compromissioni della supply chain e credenziali acquistate nel dark web, individuano servizi esposti con strumenti automatici e attaccano con forza bruta. Le chat trapelate confermano tattiche come lo sfruttamento di vulnerabilità su sistemi Jenkins, VMware, Citrix e VPN, l’uso di servizi legittimi per ospitare malware e l’esfiltrazione di dati sensibili prima del ransomware. Usano anche voice phishing, fingendosi personale IT per rubare credenziali. Le informazioni trapelate da Black Basta rivelano che i loro attacchi si sviluppano rapidamente, compromettendo intere reti in poche ore o addirittura minuti dopo l’accesso iniziale. Con tempi di reazione sempre più ridotti, le organizzazioni devono agire in modo proattivo per identificare e correggere le vulnerabilità note e ridurre la superficie di attacco. Ritardare gli interventi aumenta il rischio di furto di dati e blocco totale dei sistemi, soprattutto perché Black Basta utilizza script automatizzati per rubare credenziali, disattivare le difese e distribuire il ransomware.

Leggi anche: “Il gruppo di ransomware alimentato da IA”

*illustrazione articolo progettata da FreepikThe post Black Basta: come difendersi dal Playbook first appeared on Hackerjournal.it.