|

FUGA DI DATI BLACK BASTA: NUOVI DETTAGLI TECNICI SUI METODI DI ATTACCO E SULLE VITTIME

Il gruppo ransomware Black Basta si conferma uno degli avversari più temuti nell’ambito delle minacce informatiche, grazie a tecniche di attacco sofisticate e ben coordinate. Le ultime rivelazioni sulle modalità di intrusione e sulla selezione delle vittime mostrano un’elevata adattabilità del malware e una strategia di doppia estorsione estremamente efficace. Di seguito i principali aspetti emersi dalle indagini.

1. Vettori di infezione altamente mirati
  • Sfruttamento di vulnerabilità e zero-day: Black Basta monitora costantemente le vulnerabilità su sistemi Windows, Linux e dispositivi di rete, includendo exploit RCE (Remote Code Execution) e privilege escalation.
  • Spear phishing e social engineering avanzato: campagna e-mail con documenti in allegato o link malevoli, spesso personalizzati con dettagli dell’organizzazione presa di mira.

Soluzioni Ingecom di supporto

  • Mimecast: piattaforma di sicurezza e-mail che filtra e rileva contenuti malevoli, proteggendo da phishing mirati e allegati sospetti.
  • Rapid7: offre strumenti di vulnerability management e scanning continuo per identificare e risolvere tempestivamente le falle di sicurezza più critiche.
  • Axonius: soluzione di asset management che aiuta a scoprire e monitorare in modo centralizzato ogni dispositivo e software, riducendo i rischi di esposizione a vulnerabilità sconosciute.
2. Movimento laterale e persistenza
  • Furto e abuso di credenziali privilegiate: una volta ottenuti privilegi elevati (es. domain admin), gli attaccanti si muovono lateralmente per esfiltrare dati e diffondere il ransomware.
  • Living off the Land (LotL): utilizzo di strumenti nativi (PowerShell, WMI, PsExec) per aggirare i controlli di sicurezza e consolidare la persistenza.
  • Backdoor multiple: da servizi di sistema installati appositamente, a script e keylogger nascosti, per mantenere l’accesso anche dopo riavvii o tentativi di pulizia.

Soluzioni Ingecom di supporto

  • BeyondTrust o Delinea: piattaforme di Privileged Access Management (PAM) per monitorare e controllare l’utilizzo di account privilegiati, riducendo la superficie di attacco interna.
  • Forescout: fornisce Network Access Control (NAC) e visibilità completa sugli endpoint connessi, rilevando e isolando comportamenti anomali per bloccare i movimenti laterali.
  • ExtraHop: tecnologia di Network Detection and Response (NDR) che analizza il traffico in tempo reale, individuando attività sospette anche se mascherate da strumenti legittimi.
3. Offuscamento del malware e bypass degli antivirus
  • Packer proprietari e moduli a catena: il codice malevolo è suddiviso in più componenti, caricati e decrittati in momenti diversi per eludere analisi forense e AV tradizionali.
  • Uso di librerie legittime: DLL “trusted” e process injection, per sfuggire ai sistemi di rilevamento basati su signature e comportamenti noti

Soluzioni Ingecom di supporto

  • Rapid7: i moduli XDR e Managed Detection & Response (MDR) offrono un rilevamento comportamentale avanzato, capace di individuare tecniche di offuscamento o di injection.
  • XM Cyber: piattaforma di continuous exposure management che simula percorsi di attacco interni per identificare in anticipo dove i malware potrebbero insediarsi e come potrebbero propagarsi.
4. Doppia estorsione e gestione delle richieste di riscatto
  • Cifratura e minaccia di pubblicazione dati: tipica strategia di “double extortion”, con ingenti richieste di riscatto per evitare fughe di informazioni riservate o danni reputazionali.
  • Trattative su canali cifrati: gli aggressori sfruttano Tor e altri sistemi anonimi, per negoziare con le vittime senza rischiare intercettazioni.

Soluzioni Ingecom di supporto

  • RiskRecon: analizza costantemente l’esposizione e la postura di sicurezza di fornitori e partner, riducendo il rischio di supply chain compromise che può sfociare in doppia estorsione.
  • SealPath: tecnologia di protezione e crittografia dei documenti che salvaguarda la confidenzialità dei dati anche in caso di esfiltrazione.
  • ZeroFox o Kela: piattaforme di threat intelligence che tengono sotto controllo il Dark Web e i marketplace criminali, segnalando in anticipo se i dati di un’organizzazione sono in vendita o se si pianificano attacchi mirati.
5. Scelta delle vittime e analisi delle dinamiche di targeting
  • Settori critici e bassa tolleranza ai downtime: sanità, manifatturiero, finanza, dove un fermo operativo costa milioni e spinge al pagamento del riscatto.
  • Metodologia OSINT: raccolta di dati pubblici su infrastrutture, dipendenti e partner, per personalizzare phishing e sfruttare eventuali falle nella catena di fornitura.
  • Attacchi a fornitori/terze parti: con l’obiettivo di arrivare a bersagli più grandi (supply chain attacks).

Soluzioni Ingecom di supporto

  • AlgoSec: semplifica la gestione e l’ottimizzazione delle policy di sicurezza su firewall e segmentazioni di rete, riducendo i varchi e migliorando la resilienza contro spostamenti non autorizzati.
  • Claroty: dedicata alla protezione delle reti OT/IoT, preziosa soprattutto in ambito industriale e manifatturiero, dove i sistemi di controllo sono spesso bersaglio privilegiato di Black Basta.
  • Corero: specializzata in protezione DDoS, un attacco che può essere combinato con ransomware per aumentare la pressione sulle vittime.
6. Raccomandazioni difensive
  1. Aggiornamenti continui e asset management
    • Rapid7 per scansioni di vulnerabilità periodiche e patch management.
    • Axonius per mantenere un inventario sempre aggiornato di dispositivi e software, riducendo il rischio di “shadow IT” non protetto.
  2. Segmentazione e approccio Zero Trust
    • AlgoSec per gestire e ottimizzare le policy di rete e firewall, applicando una micro-segmentazione efficace.
    • Forescout per bloccare accessi non autorizzati e rilevare automaticamente host compromessi.
  3. Monitoraggio avanzato e rilevamento proattivo
    • ExtraHop (NDR) e Rapid7 (XDR, SIEM) per una visibilità completa sul traffico di rete e sugli endpoint, con funzionalità di risposta automatizzata.
    • XM Cyber o Cymulate per condurre simulazioni e test di penetrazione continui, identificando in anticipo i percorsi di attacco più critici.
  4. Backup crittografati offline e protezione dei dati
    • SealPath per crittografare e controllare i documenti, anche se esfiltrati, e assicurare che i dati sensibili non siano utilizzabili dagli attaccanti.
    • Una politica di backup sicuri, conservati offline e testati regolarmente, resta un caposaldo di difesa contro il ransomware.
  5. Formazione del personale
    • HackRocks per programmi di training e gamification della sicurezza, migliorando la consapevolezza sugli attacchi di phishing e social engineering.
    • Mimecast che, oltre alla protezione e-mail, offre strumenti di awareness e simulazioni di phishing.
  6. Autenticazione forte e difesa degli account
    • LastPass e Yubico: la combinazione di un password manager sicuro (LastPass) e l’uso di hardware token (YubiKey) aumenta notevolmente la difesa contro furto di credenziali e phishing.
    • BeyondTrust o Delinea per la gestione granulare degli accessi privilegiati e la rotazione automatica delle password sensibili.
  7. Threat Intelligence e Threat Hunting
    • ZeroFox, Kela o Enthec: piattaforme che permettono di tracciare attività anomale nel Dark Web, nelle reti social e negli ambienti di contrabbando di dati, anticipando eventuali mosse degli attaccanti.
    • Rapid7 (con moduli dedicati) per orchestrare investigazioni e threat hunting proattivo, basato su Indicatori di Compromissione (IoC) aggiornati.
Conclusioni

Black Basta si distingue per aggressività e precisione tattica, con attacchi calibrati su settori che non possono permettersi blocchi operativi o fughe di informazioni sensibili. La combinazione di tecniche di offuscamento, sfruttamento di vulnerabilità critiche e ricatti su più livelli (doppia estorsione) rende il ransomware uno dei più temibili in circolazione.

Per contrastare efficacemente questa minaccia, le organizzazioni devono adottare un approccio di sicurezza a 360°, che includa controllo degli accessi privilegiati, segmentazione di rete, monitoraggio in tempo reale, protezione dei dati e formazione continua del personale. Le soluzioni distribuite da Ingecom in Italia – provenienti dai vendor sopra citati – offrono un portafoglio integrato per ogni fase della difesa, potenziando le capacità di prevenzione, rilevamento e risposta. Una strategia completa e proattiva si rivela l’unica opzione davvero solida per arginare la portata distruttiva dei ransomware di ultima generazione.

Calendario degli eventi

Avete bisogno di ulteriori informazioni?


    Ai sensi dell’art. 13 del Regolamento (UE) 2016/679 Generale sulla Protezione dei Dati, vi informiamo che INGECOM tratterà i vostri dati personali al fine di gestire la vostra richiesta. Potete esercitare i vostri diritti in materia di protezione dei dati tramite richiesta al nostro DPO all’indirizzo gdpr@ingecom.net. Potete ottenere ulteriori informazioni sul trattamento dei vostri dati nella nostra informativa sulla privacy pubblicata su www.ingecom.net.