Sommario
Il mondo della cybersecurity è stato recentemente scosso da due eventi che mettono in luce la crescente minaccia del ransomware: la fuga di chat interne del gruppo Black Basta e il loro attacco ai sistemi informatici di Southern Water, azienda britannica di servizi idrici. Questi episodi offrono una visione senza precedenti sulle operazioni di uno dei gruppi hacker più pericolosi al mondo, rivelando dinamiche interne, strategie di attacco e i costi devastanti delle incursioni informatiche.
Black Basta: il leak che svela i segreti dell’organizzazione
Le chat interne di Black Basta, pubblicate su un forum russo, coprono un periodo che va da settembre 2023 a settembre 2024 e offrono un quadro dettagliato delle operazioni del gruppo. Si tratta di quasi 200.000 messaggi, che delineano una struttura organizzativa complessa e caratterizzata da forti tensioni interne.
Le rivelazioni più sorprendenti riguardano la gerarchia e le dinamiche tra i membri. Il gruppo sembra essere guidato da un amministratore noto come Lapa, responsabile della gestione operativa, mentre altre figure chiave includono Cortes, un affiliato legato alla botnet QakBot, e YY, che si occupa del supporto. Il leader principale, identificato con lo pseudonimo Trump, è stato associato anche alla rete di ransomware Conti, smantellata nel 2022.
Strategie di attacco e vulnerabilità sfruttate
Dai log emerge chiaramente il modus operandi del gruppo, che si basa su un mix di exploit di vulnerabilità note, credenziali rubate e ingegneria sociale. Black Basta ha preso di mira oltre 500 aziende in Nord America, Europa e Australia, con un focus particolare sulle infrastrutture critiche.
L’analisi dei dati trapelati ha permesso di identificare 62 vulnerabilità (CVE) sfruttate dal gruppo, di cui 53 attivamente utilizzate in attacchi reali. Tra queste figurano falle di sicurezza in prodotti di Citrix, Fortinet, Cisco, Microsoft Exchange e Atlassian Confluence, spesso utilizzate per ottenere l’accesso iniziale ai sistemi delle vittime.
Una volta infiltrati nelle reti aziendali, i criminali utilizzano strumenti come Cobalt Strike per la persistenza e Mimikatz per il furto di credenziali, accelerando il passaggio dall’accesso iniziale alla compromissione totale in poche ore, a volte minuti.
Southern Water: un attacco che costa milioni
Parallelamente alla fuga di dati, Black Basta è responsabile di un attacco informatico contro Southern Water, una delle principali aziende di servizi idrici nel Regno Unito. L’incursione, avvenuta nel febbraio 2024, ha causato un danno economico stimato in 4,5 milioni di sterline (5,7 milioni di euro), paragonabile ai costi annuali sostenuti dall’azienda per la gestione dell’inquinamento ambientale.
Southern Water fornisce acqua a 2,7 milioni di persone e gestisce i servizi fognari per 4,7 milioni di clienti. Fortunatamente, l’attacco non ha compromesso l’erogazione dei servizi essenziali, ma ha portato al furto di una quantità significativa di dati sensibili.
Secondo informazioni trapelate, l’azienda avrebbe inizialmente tentato di negoziare un riscatto, offrendo 750.000 sterline (950.000 euro) rispetto alla richiesta iniziale di 3,5 milioni di dollari (3,2 milioni di euro). A fine febbraio, il nome di Southern Water è stato rimosso dal sito di estorsione di Black Basta, segno che un accordo potrebbe essere stato raggiunto.
Un ransomware in crisi interna, ma ancora pericoloso
Nonostante il successo delle loro operazioni, i dati trapelati indicano che Black Basta sta attraversando una fase di instabilità. Alcuni membri hanno lasciato il gruppo per unirsi ad altre organizzazioni criminali come CACTUS e Akira, mentre altri hanno iniziato a raccogliere riscatti senza fornire le chiavi di decrittazione alle vittime.
L’elemento più critico emerso dalle chat è il coinvolgimento di un personaggio noto come Tramp (LARVA-18), un hacker esperto nella distribuzione di malware tramite spam. Il suo comportamento ha contribuito a destabilizzare il gruppo, portando a dispute interne e a un calo delle operazioni.
Tuttavia, nonostante queste difficoltà, Black Basta rimane uno dei gruppi ransomware più attivi al mondo, capace di colpire aziende di alto profilo e infrastrutture critiche con attacchi altamente sofisticati.
L’attacco a Southern Water dimostra che il ransomware continua a rappresentare una delle minacce più gravi per le aziende e le infrastrutture pubbliche. Le fughe di dati interni di Black Basta offrono una rara finestra sul funzionamento di queste organizzazioni criminali, evidenziando sia la loro pericolosità che le tensioni che ne minano la stabilità.
Se da un lato le forze dell’ordine possono sfruttare queste informazioni per combattere il gruppo, dall’altro è essenziale che aziende e istituzioni rafforzino le proprie difese, aggiornino i sistemi e adottino strategie di sicurezza proattive per contrastare minacce sempre più sofisticate.
