Leak al gruppo ransomware Black Basta

Il gruppo ransomware Black Basta Team è stato oggetto di un data leak che ne ha rivelato struttura interna, tecniche di attacco, flussi finanziari, vittime e altre attività criminali svolte.

Il materiale consiste in un archivio di circa 200.000 messaggi in lingua russa, scambiati sul messenger cifrato Matrix fra 18 settembre 2023 e 28 settembre 2024, ed è stato pubblicato dall’utente ExploitWhispers, in prima battuta sulla piattaforma di file sharing Mega e successivamente su un canale Telegram attivato appositamente.

Gli analisti che ne stanno scandagliando il contenuto anche grazie ad un chatbot messo a disposizione degli utenti di chatGPT hanno ricostruito una serie molto vasta di informazioni, anche aggregate.

La gang comprende criminali appartenenti a una rete che in passato ha gestito i ransomware Conti (FIN6), ora dismesso, e Ryuk, nonché il trojan bancario TrickBot. Oltre dodici di essi sono noti alle autorità e sono stati oggetto di sanzioni. Alcune figure di spicco sono il leader Tramp, che dovrebbe rispondere al nome di Oleg Nefedov, YY (amministratore principale di Black Basta), Lapa (un altro amministratore) e Cortes (un autore della minaccia collegato al gruppo Qakbot). Tramp e un altro individuo chiamato Bio hanno partecipato a Conti Team. Alcuni appartenenti di Black Basta si sarebbero staccati per aderire ad altri progetti come Cactus Team e Akira Team.

Inoltre, sono stati rilevati riferimenti a un certo “Mr LockBit”, di cui i vertici di Black Basta non si fidavano. Non sarebbe ancora chiaro se questo Signor LockBit fosse qualcuno con effettivi contatti con il team ransomware russo, ma la Russia compare in altri passaggi. In particolare, nelle conversazioni intrattenute fra Tramp e uno degli appartenenti a Black Basta che usava il nickname ssd. Nei suoi scambi privati con ssd, Tramp afferma di “alimentare” regolarmente i servizi di intelligence russi, menzionando esplicitamente l’FSB e il GRU.

Per l’inquadramento di Black Basta Team nel mondo cybercriminale sono risultati molto interessanti ulteriori due elementi. Si ritiene che uno degli affiliati sia un minore di 17 anni; inoltre, il gruppo ha iniziato a incorporare attivamente l’ingegneria sociale nei propri attacchi dopo il successo di Scattered Spider (UNC3944). Niente di chiaro e definitivo, solo piccole luminose prove indiziarie. Scattered Spider è un gruppo cybercriminale dalla storia molto complessa, nella quale sono coinvolti proprio un diciassettenne (che ne sarebbe il capo), l’attacco ransomware a Transport for London (TfL) e quello a MGM resort (attribuito ad ALPHV Team).

Riguardo alle TTP, sono state elencate 62 vulnerabilità, identificate con codici CVE, di cui gli operatori di Black Basta hanno discusso. Di esse, 44 sono presenti nel catalogo KEV dell’agenzia CISA e 53 sono nel catalogo KEV di VulnCheck. Fra le più interessanti: Zerologon (CVE-2020-1472), una vulnerabilità zero-day di esecuzione di codice remoto in Windows Search (CVE-2023-36884), due vulnerabilità FortiSIEM (CVE-2024-23109 e CVE-2024-23108), diverse vulnerabilità di Microsoft Exchange, tra cui i bug di ProxyNotShell CVE-2022-41040 e CVE-2022-41082 e le weakness delle CPU Intel Meltdown e Spectre (rispettivamente CVE-2017-5754 e CVE-2017-5753) che permettono attacchi speculativi.

Le informazioni sulle vittime, alle quali venivano richiesti riscatti milionari, venivano scambiate internamente con link caricati sul sito ZoomInfo. Si contano 367 link, presumibilmente corrispondenti al numero di realtà colpite. Le rivendicazioni note coincidenti con il periodo del leak sono oltre 200. Da allora ad oggi ne sono state censite oltre 50.

È recentissimo un aggiornamento sull’attacco ransomware del febbraio 2024 contro la società privata britannica Southern Water, che fornisce servizi idrici a 2,7 milioni di utenze. Secondo documenti ufficiali, la compagnia avrebbe fatto fronte all’incidente spendendo circa 4,5 milioni di sterline (5,45 milioni di euro). Nelle chat del leak si parla di una richiesta di riscatto pari a 3,5 milioni di dollari (3,36 milioni di euro) che sarebbe stato abbassato a 950.000 dollari (circa 912.000 euro), presumibilmente pagati a Black Basta Team.

La reale motivazione del leak è ancora ignota. ExploitWhispers potrebbe essere un ricercatore di sicurezza che è riuscito ad accedere al server Matrix, ma non si esclude che sia un appartenente alla crew ransomware, il quale potrebbe aver agito per ritorsione in un contesto, verosimile, di conflitti interni, defezioni e sostanziale inattività, causati nell’ultimo anno soprattutto dal comportamento del leader Tramp.

Focus On è una serie di approfondimenti su temi e dati analizzati dal team di esperti del Cyber Intelligence Operations Center di TS-Way.

Il Centro è diretto da analisti e ricercatori di sicurezza con competenze tecniche e investigative e un’esperienza riconosciuta in ambito internazionale.

Produce informazioni su una vasta gamma di minacce cibernetiche e eventi geopolitici consentendo alle organizzazioni di anticipare gli attacchi, comprenderne la portata, potendo contare su un partner affidabile in caso di incidente informatico.

Scopri di più sui nostri servizi di Threat Intelligence