#main-nav-header { display:none; }

L’errore di Black Basta: sfruttare le chat trapelate della banda criminale

Sintesi delle minacce - 17 marzo 2025

Indice

Panoramica

Cloudforce One analizza i TTP di Black Basta

Come proteggersi

Indicatori di compromissione

Panoramica

Black Basta, un famigerato gruppo ransomware legato alle organizzazioni criminali Ryuk e Conti, si è trovato esposto quando una fuga di notizie sul suo server di chat Matrix è apparsa su un canale Telegram. Il server di chat, ospitato sul dominio bestflowers247[.]online, è trapelato da un utente che si fa chiamare ExploitWhispers. I file trapelati contenevano documenti JSON che riportavano dettagli su timestamp, informazioni sul mittente e sul destinatario, ID dei thread e contenuto dei messaggi. Questi dati fornivano informazioni utili sulle attività del gruppo che consentivano di identificare gli account e i domini chiave utilizzati dai suoi membri.

ExploitWhispers fa trapelare i log delle chat di Black Basta, esponendo account e domini chiave

I dati della chat trapelata non solo offrivano informazioni sulle attività interne di Black Basta, ma facevano anche luce sul più ampio ecosistema ransomware. Comprendere il modo in cui il gruppo si muoveva in questo ecosistema forniva una preziosa prospettiva sulla sua portata e sulle sue capacità, con vari metodi disponibili per valutarne l'efficacia e l'impatto. Uno di questi consisteva nell'analizzare le transazioni in criptovaluta attribuite all'attività criminale. Kaitlin Martin della società di intelligence blockchain Chainalysis ha evidenziato questo punto in riferimento alla fuga di notizie di Black Basta:

"I dati on-chain e off-chain contenuti nelle chat trapelate di Black Basta mostrano come il gruppo si affidi a vari servizi Web, servizi di terze parti e forum del dark Web per le proprie operazioni. I pagamenti a questi servizi non solo da parte di Black Basta, ma anche di altri gruppi ransomware, dimostrano fino a che punto questi servizi fanno parte dell'infrastruttura critica dell'ecosistema ransomware".

Esaminando le transazioni finanziarie e le dipendenze operative, i ricercatori possono comprendere meglio l'ecosistema in cui questi gruppi operano e si sostengono.

Un aspetto chiave di questo ecosistema è il modo in cui le bande di ransomware criminali selezionano le loro vittime. Sebbene sia certamente vero che alcuni settori e regioni del mondo sono colpiti in modo sproporzionato, sembra che le bande di ransomware non selezionino vittime specifiche, quanto piuttosto le selezionino all'interno di un pool di macchine già compromesse. Le bande di ransomware si coordinano con i team criminali che infettano migliaia di macchine ogni giorno, quindi rivedono l'elenco dei sistemi compromessi per identificare quelli appartenenti a imprese ben finanziate.

In molti casi, le bande di ransomware acquistano l'accesso iniziale agli host delle vittime da broker che setacciano enormi raccolte di credenziali scambiate e vendute nei mercati e nei forum criminali. Queste credenziali, raccolte da ladri di informazioni come LummaC2, spesso appartengono ad account di sistemi di accesso remoto come RDWeb, Citrix e VPN basate su browser. La comprensione di questo processo di selezione evidenzia l'importanza di una solida sicurezza delle credenziali, della segmentazione della rete e del monitoraggio proattivo delle minacce per interrompere le operazioni ransomware prima che si trasformino in attacchi su vasta scala.

Prima della fuga di notizie, Black Basta aveva condotto operazioni ransomware altamente efficaci, violando numerose aziende e infliggendo milioni di dollari in danni e pagamenti di riscatto. I dati della chat trapelati forniscono informazioni su tattiche, tecniche e procedure (TTP) del gruppo, offrendo visibilità sulle loro operazioni. Utilizzando questi dati, Cloudflare ha monitorato l'attività di Black Basta e ha scoperto informazioni uniche sulla sua infrastruttura e sui suoi metodi di attacco. Le organizzazioni possono sfruttare queste informazioni per rafforzare la loro comprensione delle bande di ransomware come Black Basta per migliorare le proprie difese e anticipare in modo proattivo le loro mosse successive, riducendo il rischio di cadere vittime di attacchi futuri.

Cloudforce One analizza i TTP di Black Basta

Quando Cloudforce One ha ottenuto il file bestflowers.json, abbiamo innanzitutto enumerato tutte le infrastrutture a cui si faceva riferimento nelle chat, concentrandoci su quelle su cui avevamo una visibilità unica. Durante questo processo, abbiamo identificato le tecniche impiegate da Black Basta per facilitare l'esfiltrazione dei dati e oscurare la loro infrastruttura remota. Abbiamo condotto un'analisi approfondita di questa infrastruttura per valutarne il potenziale impatto. La nostra indagine ha confermato che molti dei domini menzionati nelle chat non sono stati utilizzati, il che suggerisce che siano stati creati preventivamente per attività operative che non si sono mai concretizzate.

Black Basta ha seguito una procedura coerente per creare account con i fornitori di infrastrutture. I membri del gruppo condividevano regolarmente i dettagli di creazione degli account nella chat, includendo nomi, indirizzi postali e credenziali di accesso. Per gli indirizzi e-mail, invece di sfruttare i servizi di posta elettronica gratuiti, utilizzavano domini dall'aspetto aziendale. Nella gestione della loro infrastruttura, si collegavano da diverse reti e facevano affidamento in modo discontinuo su servizi di anonimato. Sebbene le loro password fossero ragionevolmente complesse, spesso le riutilizzavano per più account.

Dopo aver completato l'indagine sull'infrastruttura di Black Basta, abbiamo esaminato attentamente le chat per analizzarne i metodi di accesso iniziale, le tattiche di post-sfruttamento e le strategie di negoziazione. Black Basta ha sfruttato attivamente un malware precursore come Qakbot per infiltrarsi in un vasto numero di macchine in tutto il mondo. Dopo aver ottenuto l'accesso, ha identificato obiettivi di alto valore tramite attività di post-sfruttamento, tra cui tecniche note come l'installazione di beacon persistenti, l'enumerazione delle directory e l'aumento dei privilegi.

In alcuni casi, Black Basta ha violato i sistemi utilizzando altri metodi che prevedevano l'utilizzo di credenziali raccolte da un ladro di informazioni. Cloudforce One ha scoperto alcuni degli account associati in raccolte di credenziali scambiate e condivise liberamente nei canali Telegram dedicati ai log dei ladri di informazioni. Un esempio di messaggio Telegram che coinvolgeva uno di questi account compromessi è mostrato nell'immagine qui sotto.

Account RDWeb compromesso di un'azienda statunitense identificato da Black Basta

La dipendenza di Black Basta dal furto di credenziali e dal malware sottolinea la natura interconnessa dell’ecosistema ransomware, un ecosistema che prospera non solo grazie all’accesso iniziale, ma anche grazie all’infrastruttura finanziaria che sostiene le sue operazioni. I pagamenti dei riscatti avvengono tramite criptovaluta, principalmente Bitcoin. Le chat trapelate contengono numerosi indirizzi di criptovaluta che potrebbero fungere da destinazioni di pagamento e che possono essere raggruppati con altri indirizzi per analizzare l'impronta finanziaria e l'impatto di Black Basta.

Il gruppo fa riferimento alla criptovaluta anche quando organizza i pagamenti per l'infrastruttura, con i richiedenti che specificano l'importo e talvolta offrono più opzioni di pagamento in criptovaluta. Ciò rispecchia le pratiche osservate nelle fughe di notizie della chat di Conti del 2022, in cui i membri del team chiedevano regolarmente ai manager di effettuare pagamenti in criptovaluta per server privati virtuali, nomi di dominio e servizi VPN.

L'indagine di Cloudforce One sulle informazioni divulgate attraverso la fuga di notizie sul server di chat di Black Basta ha fornito interessanti spunti di riflessione e ha rivelato informazioni uniche su Cloudflare. Ha confermato l'uso da parte del gruppo di malware precursori, la gestione strategica delle credenziali e la capacità di infiltrarsi nelle reti, mantenere la persistenza e colpire con successo vittime di alto valore. Analizzando i dati delle chat trapelati, abbiamo anche ottenuto ulteriori dettagli sul ruolo cruciale che la criptovaluta svolge nel sostenere le loro operazioni e sulla loro dipendenza da vari servizi Web e di terze parti, nonché dai forum del dark Web. Questa indagine evidenzia la crescente complessità dell'ecosistema ransomware e sottolinea la necessità di difese solide, che vanno dalla protezione dei punti di accesso iniziali al monitoraggio delle transazioni finanziarie, per combattere efficacemente questi attori di minacce persistenti e adattivi.

Come proteggersi

Molte riviste e blog offrono consigli per mitigare il ransomware, ma spesso non affrontano le cause profonde degli incidenti. I gruppi ransomware in genere ottengono l'accesso iniziale attraverso alcuni metodi principali:

Furto e rivendita di credenziali: i ladri di informazioni raccolgono le credenziali di accesso remoto, che vengono quindi vendute ai broker di accesso iniziale. Questi broker, a loro volta, li vendono a bande di ransomware.
Distribuzione di malware precursori: gli autori delle minacce distribuiscono malware come Qakbot e IcedID tramite campagne di spam diffuse. Quindi identificano gli obiettivi ransomware di alto valore dalle macchine infette. Gli autori di attacchi spesso inviano questo malware tramite allegati e-mail con script incorporati o collegamenti a file contenenti script, che scaricano ed eseguono payload dannosi.
Sfruttamento di dispositivi perimetrali vulnerabili: i gruppi di ransomware sfruttano spesso vulnerabilità senza patch in firewall, dispositivi VPN e servizi di condivisione file per ottenere accessi non autorizzati. Gli incidenti ransomware spesso derivano da queste falle nella sicurezza, che consentono agli aggressori di infiltrarsi nelle reti e distribuire i loro payload.

Segui questi consigli per ridurre la tua esposizione al ransomware:

Disabilita le password memorizzate nel browser: le aziende che forniscono un gestore di password organizzative dovrebbero impedire agli utenti di salvare le credenziali nei browser Web.
Sistemi di accesso remoto sicuri: richiedono l'autenticazione a più fattori (MFA) per RDP, RDWeb, Citrix, VPN e altri servizi di accesso remoto esposti a Internet.
Informa gli utenti sul software bootleg: il software illegittimo è una fonte primaria di ladri di informazioni che raccolgono credenziali successivamente vendute ai broker di accesso iniziale.
Filtra attentamente gli allegati e-mail: prendi in considerazione una solida soluzione di sicurezza e-mail in grado di bloccare gli allegati dannosi che contengono contenuti attivi, come macro o script, per impedire la distribuzione del malware. Cloudflare protegge dai vettori di infezione trasmessi via e-mail comunemente utilizzati dai gruppi ransomware attraverso il nostro prodotto Cloudflare Email Security.
Blocca le macro di Office rischiose: impedisci l'esecuzione di macro nei documenti di Office contrassegnati con il Marchio del Web, che indica che sono stati scaricati da Internet.
Segnala un abuso sulle reti di Cloudflare: se identifichi un'attività sospetta, segnalala al Trust Hub di Cloudflare.

Indicatori di compromissione

Il seguente elenco di domini, estratti dai log delle chat di Black Basta, sono associati a malware ed esfiltrazione di dati. Sebbene alcuni di questi domini fossero attivi in passato ed è improbabile che compaiano nel traffico futuro, condurre un'analisi retrospettiva potrebbe aiutare a identificare eventuali connessioni storiche. Il rilevamento di attività passate associate a questi domini può indicare una comunicazione malware con un server di comando e controllo.

La tabella include alcuni dei domini e degli indirizzi IP più importanti identificati nelle chat trapelate, ma fornisce solo un campione del lunghissimo elenco di indicatori Black Basta monitorati da Cloudforce One. Per saperne di più su come ottenere l'accesso all'elenco completo degli indicatori insieme a un contesto pratico aggiuntivo, fare riferimento alla nostra piattaforma Eventi di minaccia, disponibile per i clienti Cloudforce One.

A proposito di Cloudforce One

La missione di Cloudflare è aiutare a realizzare un Internet migliore. E un Internet migliore può esistere solo con forze del bene che rilevano, interrompono e sminuiscono gli autori di minacce che cercano di erodere la fiducia e piegare Internet per guadagno personale o politico. Entra in Cloudforce One: il team dedicato di Cloudflare di ricercatori sulle minacce di fama mondiale, incaricati di pubblicare intelligence delle minacce per fornire ai team di sicurezza il contesto necessario per prendere decisioni rapide e sicure. Identifichiamo e difendiamo dagli attacchi con una competenza unica che nessun altro possiede.

La base della nostra visibilità è la rete globale di Cloudflare, una delle più grandi al mondo, che include circa il 20% di Internet. I nostri servizi sono adottati da milioni di utenti in ogni angolo di Internet, offrendoci una visibilità senza precedenti sugli eventi globali, inclusi gli attacchi più interessanti a Internet. Questo punto di vista consente a Cloudforce One di eseguire ricognizioni in tempo reale, interrompere gli attacchi dal punto di lancio e trasformare l'intelligence in successo tattico.