La massiccia fuga di notizie di Black Basta svela i meccanismi interni di un gigante del ransomware

In uno sviluppo raro e sorprendente, una serie di registri di chat interni della gang del ransomware Black Basta è trapelata online, offrendo uno sguardo senza precedenti dietro le quinte di una delle organizzazioni di criminali informatici più pericolose che operano oggi. La fuga di notizie è già stata paragonata alle famigerate fughe di notizie Conti di inizio 2022, che hanno esposto le operazioni interne di un altro famigerato sindacato di ransomware.

Questa ultima rivelazione, resa pubblica il 20 febbraio 2025, proviene da un informatore noto come ExploitWhispers, che avrebbe rilasciato un file JSON da 47 MB contenente oltre 200.000 messaggi di chat scambiati dai membri di Black Basta. Le chat coprono un anno intero di attività, da settembre 2023 a settembre 2024, e sono ora meticolosamente analizzate dai ricercatori di sicurezza informatica di tutto il mondo.

Perché Black Basta è stato smascherato?

Secondo i messaggi condivisi con la fuga di notizie, la motivazione dell'esposizione potrebbe derivare dalla decisione di Black Basta di prendere di mira le banche russe, una mossa che, nel mondo della criminalità informatica di lingua russa, è spesso considerata un errore imperdonabile. Se fosse vero, questo spiegherebbe perché un insider ha deciso di far trapelare materiale così sensibile.

Inoltre, la società di intelligence sulle minacce Prodaft nota che Black Basta è stato per lo più inattivo dall'inizio del 2025, presumibilmente a causa di dispute interne. Con il caos che fermenta dietro le quinte, la fuga di notizie aggiunge un ulteriore strato di incertezza sul futuro del gruppo.

Cosa rivelano le chat trapelate

La fuga di notizie non è solo un'affascinante panoramica sulle personalità e sulle chiacchiere quotidiane degli operatori di Black Basta, ma anche un modello di come la banda gestisce i suoi attacchi, seleziona gli obiettivi e sfrutta le vulnerabilità.

Le aziende di sicurezza VulnCheck e Qualys hanno già pubblicato i primi risultati, concentrandosi sui dettagli tecnici nascosti nei log. Secondo l'analisi di VulnCheck, le chat menzionano 62 CVE (Common Vulnerabilities and Exposures) univoche, alcune delle quali sono state discusse entro pochi giorni dalla loro divulgazione pubblica e alcune addirittura prima che fossero pubblicate ufficialmente.

Ancora più allarmante è il fatto che i registri suggeriscano che Black Basta non si affida solo a exploit noti al pubblico. Ci sono prove evidenti che il gruppo ha le risorse per sviluppare nuovi exploit e ha discusso l'acquisto di vulnerabilità esclusive da altri attori della minaccia.

Qualys ha fatto un ulteriore passo avanti, compilando un elenco di priorità per i difensori, tra cui:

  • Principali 20 CVE che richiedono una correzione immediata.
  • Le 10 configurazioni errate più frequentemente sfruttate da Black Basta.
  • Un'appendice completa di tutte le vulnerabilità menzionate nella fuga di notizie.

Per i team di sicurezza, questa fuga di notizie offre una rara opportunità di comprendere esattamente quali sono i punti deboli più interessanti per gli operatori di ransomware e di stabilire di conseguenza le priorità delle difese.

Uno studio di caso sulle operazioni di ransomware

Oltre alle vulnerabilità, ricercatori come Kela e BushidoToken hanno analizzato il playbook operativo del gruppo. Un esempio dettagliato riguarda un attacco del 2023 a un'azienda brasiliana, iniziato con credenziali rubate tramite malware infostealer. In soli due giorni, Black Basta aveva compromesso la rete, rubato dati sensibili e distribuito ransomware. I metodi del gruppo (accesso iniziale tramite credenziali compromesse, rapido movimento laterale, esfiltrazione di dati ed estorsione pubblica) illustrano un approccio altamente raffinato e su scala industriale all'estorsione informatica.

Queste informazioni confermano che Black Basta opera come un'azienda ben oliata, profilando le vittime utilizzando strumenti come ZoomInfo per valutare l'importo del riscatto e le tattiche di pressione.

Conflitto interiore e crisi di coscienza

Una delle rivelazioni più inaspettate della fuga di notizie è il lato umano degli aggressori. Durante il loro attacco del 2024 ad Ascension Health, i messaggi di chat rivelano un crescente disagio all'interno del gruppo man mano che le conseguenze delle loro azioni diventavano chiare.

Di fronte alla possibilità di danneggiare i pazienti, compresi i casi di terapia intensiva, i membri hanno dibattuto se fornire un decryptor gratuito ed eliminare i dati rubati. I commenti di personaggi chiave come "tinker" e "gg" mostrano un'acuta consapevolezza del fatto che uccidere le operazioni di un ospedale potrebbe trasformarsi da reato informatico ad accuse di terrorismo se si perdessero delle vite.

In una mossa insolita, Black Basta non solo ha fornito una chiave di decrittazione gratuita, ma avrebbe anche cancellato i dati rubati, segnalando un insolito momento di autoconservazione, o forse persino di moralità.

Black Basta è sull'orlo del collasso?

Con tutto questo trambusto, alcuni esperti ipotizzano che il gruppo stia seguendo lo stesso percorso di Conti, che si è sciolto dopo le sue fughe di notizie interne ed è riemerso con nuovi nomi. Diversi commenti trapelati suggeriscono che Black Basta stava già considerando un rebranding completo a causa del crescente calore da parte delle forze dell'ordine e del pubblico.

Anche se per ora si tratta solo di speculazioni, l'idea che Black Basta possa scomparire e riemergere sotto un altro pseudonimo nel 2025 sta diventando sempre più plausibile con ogni giorno che passa.

Cosa significa questo per i difensori

Questa fuga di notizie è molto più di un semplice caso di criminalità informatica: è un'informazione utile.
Per i team di sicurezza, la fuga di notizie di Black Basta offre:

  • Patching prioritario delle vulnerabilità in base allo sfruttamento nel mondo reale.
  • Approfondimenti su tempi e metodi di attacco.
  • Comprensione delle dinamiche interne al gruppo che potrebbero segnalare cambiamenti nel panorama del ransomware.

Le organizzazioni dovrebbero agire ora per esaminare i CVE e le configurazioni errate esposte nella fuga di notizie, rafforzare le difese e rimanere vigili. Mentre Black Basta potrebbe trovarsi ad affrontare lotte interne, il ransomware nel suo complesso rimane una minaccia persistente e in continua evoluzione.

Considerazioni finali

La fuga di notizie di Black Basta rappresenta sia un racconto ammonitore che un vantaggio strategico per i difensori della sicurezza informatica. Conferma che anche le gang di ransomware più sofisticate non sono immuni a conflitti interni, errori umani ed esposizione.

Ma non fatevi illusioni: che Black Basta si sciolga, cambi marchio o continui ad esistere, i metodi e le vulnerabilità rivelati in queste chat alimenteranno le operazioni ransomware ben oltre il 2025.

La migliore difesa ora è la consapevolezza, la preparazione e l'azione rapida.

Entro il Zane
March 7, 2025
Computer Security
Italiano
March 7, 2025
Computer Security

Post popolari

Cos'è il file OperaGXSetup.exe ed è dannoso?

11 months fa

Eporner.com e perché i suoi pop-up eccessivi sono rischiosi

12 days fa

Prendi nota: qualcuno ti ha aggiunto come truffa tramite email...

10 months fa

HackTool:Win32/Crack: una minaccia dannosa che può danneggiare...

7 months fa

Una minaccia potenzialmente seria: Trojan:Win32/Suschil!rfn

19 days fa

Cos'è la minaccia del cavallo di Troia Packunwan e come può...

11 months fa
Italiano
Caricamento in corso...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Prodotti

Cyclonis Password Manager Cyclonis World Time

Supporto

File di aiuto FAQs Downloads Inquiries & Support

Azienda

Riguardo a noi Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politica sulla riservatezza Gestione dei Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows è un marchio di Microsoft, registrato negli Stati Uniti e in altri paesi.
Mac, iPhone, iPad e App Store sono marchi di Apple Inc., registrati negli Stati Uniti e in altri paesi.
iOS è un marchio registrato di Cisco Systems, Inc. e/o delle sue affiliate negli Stati Uniti e in alcuni altri paesi.
Android e Google Play sono marchi di Google LLC.