Il rapido crollo di Black Basta

Quando abbiamo profilato Black Basta lo scorso maggio, il gruppo aveva già estorto oltre 107 milioni di dollari da più di 329 vittime. Aveva appena compiuto il grande attacco contro Ascension Health, interrompendo le attività di 142 ospedali in 19 stati e Washington DC. Il gruppo sembrava continuare a essere forte fino alla fine del 2024, ma divisioni interne stavano erodendo le operazioni. Lealtà divise hanno portato alcuni membri ad attaccare obiettivi russi, cosa sempre proibita dai gruppi con base in Russia. Altri stavano truffando le vittime raccogliendo pagamenti di riscatto senza fornire chiavi di decrittazione funzionanti, il che è considerato dannoso per la reputazione del gruppo. Attacchi di alto profilo e selezione degli obiettivi hanno ulteriormente contribuito alla spaccatura. Il gruppo sembra aver terminato le operazioni a partire dall'11 gennaio 2025. Non ci sono vittime conosciute da quella data, e tutti e tre i siti web del gruppo non sono disponibili.

Questo è un bel tracollo per uno dei gruppi ransomware più attivi e sofisticati emersi negli ultimi anni. Cosa è successo?

La grande fuga

Possiamo ringraziare un'individua che si fa chiamare 'ExploitWhispers' per la maggior parte di queste informazioni. L'11 febbraio 2025, ExploitWhispers ha divulgato circa 200.000 messaggi di chat interna di Black Basta al pubblico. La vera identità di ExploitWhispers è sconosciuta, ma gli analisti che hanno studiato i suoi messaggi dicono che si riferiva principalmente a se stessa come donna, e il suo stile di scrittura e l'uso della lingua indicavano che non è una parlante russa nativa. ExploitWhispers afferma di aver divulgato i messaggi di chat perché Black Basta aveva “brutalmente” attaccato l'infrastruttura bancaria russa.

I dati trapelati riguardavano comunicazioni che vanno dal 18 settembre 2023 al 28 settembre 2024. Sebbene la fuga di notizie sia avvenuta l'11 febbraio, non ha attirato l'attenzione generale fino al 20 febbraio 2025, quando la società di intelligence sulle minacce PRODAFT ha pubblicato brevi dettagli al riguardo.

I messaggi hanno rivelato molti dettagli sulla struttura del gruppo e i membri chiave. Si ritiene che Oleg Nefedov sia stato il principale leader, e sia stato collegato a diversi alias tra cui "Tramp", "Trump", "GG" e "AA". Nefedov era un membro attivo in Revil e Conti ed è protetto da figure politiche russe di alto rango e dalle agenzie FSB e GRU. Nefedov è considerato la forza dietro la maggior parte dei conflitti interni. Va notato qui che alcuni analisti credono che i quattro pseudonimi menzionati sopra si riferiscano a più di una persona. Nessuno sembra contestare il ruolo di Nefedov.

Il gruppo aveva diversi amministratori, con "Lapa" e "YY" identificati come figure chiave coinvolte nei compiti amministrativi e di supporto. Si diceva che Lapa fosse "sottopagato e degradato dal suo capo", che si presume fosse Nefedov.

Le chat hanno anche rivelato che uno degli affiliati ha 17 anni. Questo probabilmente non è stato confermato, ma non dovrebbe sorprendere. I minori sono stati coinvolti in hacking e crimini informatici per decenni. Un adolescente austriaco di 15 anni è stato arrestato dopo aver hackerato quasi 260 aziende. Ha detto di aver iniziato a farlo perché si annoiava.

Dettagli tecnici sui caricamenti di malware personalizzati, portafogli di criptovaluta e indirizzi email degli affiliati sono stati inclusi.

I registri delle chat menzionati lo sfruttamento di 62 exploit unici di vulnerabilità comuni (CVE), inclusi almeno dieci CVE più vecchi, 'ma non dimenticati'. Tre CVE sono stati discussi prima della loro pubblicazione ufficiale. Le discussioni su queste vulnerabilità evidenziano la natura opportunistica della selezione degli obiettivi basata su exploit di accesso iniziale.

Il gruppo ha combinato strumenti offensivi e difensivi per effettuare attacchi. ZoomInfo, ChatGPT, GitHub, Shodan, Metasploit e Cobalt Strike sono tra gli strumenti e le tecniche menzionati nelle chat. I payload di malware sono stati ospitati su piattaforme di condivisione file come transfer.sh e temp.sh.

Black Basta ha fatto molto affidamento su credenziali compromesse di Remote Desktop Protocol (RDP) e VPN per l'accesso iniziale e il movimento laterale. Queste credenziali venivano spesso acquistate da mercati clandestini o scoperte tramite attacchi di credential stuffing utilizzando database precedentemente violati.

Le metodologie di attacco e le tattiche di accesso iniziale sono state documentate nelle chat, e ci sono stati rapporti di membri chiave che defezionano verso Cactus e Akira. Queste informazioni sono un dono per le forze dell'ordine e i ricercatori di sicurezza, come puoi immaginare.

Il grande dramma

Le fughe tecniche non sono i messaggi più interessanti nel gruppo. La tensione interna è salita alle stelle mentre Black Basta monitorava il caos causato dall'attacco ad Ascension Health. Un membro ha condiviso questo post su Reddit di un'infermiera colpita dall'attacco:

Ho lavorato ieri quando tutto è iniziato. È stato un incubo. Solo alcuni computer funzionavano fino alle 4 quando l'intero sistema è andato giù. Abbiamo convertito freneticamente alla registrazione su carta, tutta la documentazione è ora nei raccoglitori dei pazienti. … Diversi reparti sono chiusi a causa dell'interruzione.

…

I pazienti vengono dirottati verso altri ospedali perché non possiamo operare in questo modo (per non parlare del fatto che il nostro ospedale ha appena avuto un'alluvione nel seminterrato questa settimana)

Ho paura per i miei pazienti e per la mia licenza. Mi ci sono volute 6 ore per far passare il mio paziente alle cure palliative e ottenere le prescrizioni di morfina. Non posso seguire con i medici ora perché la comunicazione è così intasata.

I membri di Black Basta erano preoccupati per le conseguenze dell'attacco. Esempi:

• GG: "Il 100% dell'FBI e del CISA è obbligato a intervenire, e tutto ciò ha portato al fatto che prenderanno provvedimenti duri su Black Basta. ... Non ci libereremo di questo ora e molto probabilmente il software finirà nel cestino,"
• Tinker: “Se qualcuno, Dio non voglia, muore… ci prenderemo i problemi sulle nostre teste – questo sarà classificato come un attacco terroristico. … Non voglio andare all'inferno se un bambino con un difetto cardiaco muore.”
• NN: “Posso fornire loro la decifrazione immediatamente su richiesta?”

Il ricercatore di minacce @BushidoToken ha interpretato l'intera conversazione nel senso che Black Basta ha restituito i dati di Ascension e ha eliminato le copie rubate senza richiedere un riscatto. Sembra che i membri chiave del gruppo abbiano iniziato a pianificare un rebranding a causa di questo attacco.

Non abbiamo già visto questo?

Perché sì, sì, lo abbiamo fatto. Il gruppo ransomware Conti, ora confermato come il "padrino" di Black Basta, ha avuto un simile crollo quando le sue chat interne, il codice sorgente e altri dati sensibili sono stati trapelati a febbraio 2022. Le fughe di notizie di Conti sono state orchestrate da un ricercatore di sicurezza ucraino in risposta al supporto pubblico di Conti per l'invasione russa dell'Ucraina. Conti si è sciolto e i membri si sono trasferiti per formare Black Basta e altri gruppi di minaccia. 

Questo schema di chiusura, rebranding e riemergenza è comune nell'ecosistema del ransomware. Ecco alcuni esempi notevoli:

• REvil è apparso nell'aprile 2019, circa 1-2 mesi prima della chiusura di GandCrab nel maggio 2019.
• BlackMatter è emerso alla fine di luglio 2021, circa 2,5 mesi dopo la chiusura di DarkSide a maggio 2021.
• Conti è apparso nel luglio 2020, sovrapponendosi al graduale declino di Ryuk nei successivi 6-8 mesi.
• RansomCartel è emerso a dicembre 2021, circa 5 mesi dopo la scomparsa iniziale di REvil a luglio 2021.

Queste transizioni si verificano generalmente entro 2-6 mesi dal declino o dalla chiusura del gruppo predecessore, consentendo un trasferimento fluido di risorse e personale mentre si evita l'attenzione delle forze dell'ordine.

Tornerà Black Basta e perché dovrebbe interessarti?

Sembra improbabile che il marchio Black Basta torni attivo presto, ma potrebbe verificarsi un rebranding o una diramazione. La recente inattività di Black Basta suggerisce che il gruppo stia passando a una nuova strategia, e le chat trapelate hanno rivelato discussioni sul rebranding per evitare un maggiore controllo. Sono già stati osservati affiliati che si stanno trasferendo a gruppi come Cactus e Akira, il che è qualcosa che spesso precede un rebranding di un importante attore di minacce. E francamente, è solo uno standard dell'industria del ransomware effettuare un rebranding o fondersi con altri attori di minacce dopo che un marchio è stato danneggiato. Anche se non ci fosse un rebranding, altri gruppi emergeranno per riempire il vuoto lasciato dal declino di Black Basta.

Quindi perché importa, dato che succede comunque così spesso? Per alcune aziende, non importa affatto. Le loro difese contro il ransomware non cambieranno molto a causa di un rebranding, e non tengono comunque il passo con gli attori delle minacce. Ma per i fornitori di sicurezza e i team IT, comprendere il ciclo di vita di questi gruppi li aiuterà a familiarizzare maggiormente con i metodi di attacco. I gruppi rebrandizzati spesso mantengono le stesse tattiche e capacità del gruppo precedente, ma i membri hanno acquisito esperienza dal successo e dall'eventuale fallimento del loro precedente gruppo. Usano il periodo di inattività tra i marchi per affinare le loro operazioni e reclutare affiliati o talenti nel nuovo gruppo. Le fughe di notizie pubbliche, le azioni delle forze dell'ordine e la ricerca degli esperti di sicurezza possono aiutare le aziende a rimanere aggiornate sulle potenziali minacce.

Lo sapevi ...

Il ransomware è più che raddoppiato anno dopo anno, e gli attaccanti stanno prendendo di mira organizzazioni di tutte le dimensioni — nessuno è immune. Stanno impiegando attacchi sempre più sofisticati e sconfiggendo le difese esistenti. E ora, c'è la nuova minaccia degli attacchi ransomware potenziati dall'IA, che aumenteranno il numero di attacchi che le organizzazioni affrontano, così come il tasso di attacchi riusciti. Barracuda può aiutare.