Da dove ha origine la cyber gang “BlackBasta”

Si tratta di una costola del famigerato gruppo Conti. Dal 2022 si sono resi responsabili di centinaia di attacchi ransomware

14/05/2024 di Gianmichele Laino

Stati Uniti, Giappone, Canada, Regno Unito, Australia e Nuova Zelanda. Sono le nazioni dove principalmente, dall’inizio del 2022, ha iniziato a operare il gruppo ransomware BlackBasta. Per capire chi sono questi cybercriminali, diventati famosi anche in Italia dopo l’attacco a Synlab del 18 aprile scorso e la conseguente pubblicazione di ben 1,5 Tb di dati sanitari di cittadini del nostro Paese, occorre andare alle origini dei gruppi hacker che hanno dominato (o stanno dominando in varie forme e declinazioni) la scena globale del cybercrime. L’obiettivo di BlackBasta – che ha una attività piuttosto recente – è quello di colpire il numero più alto di vittime possibile, sparando nel mucchio, utilizzando la cosiddetta tecnica dello spray-and-pray. Chi c’è dietro a BlackBasta? Alcuni analisti credono che ci possa essere il gruppo di hacker russi Conti, di cui BlackBasta sarebbe fondamentalmente una costola.

LEGGI ANCHE > Tutti i problemi del comunicato di Synlab agli utenti

Chi è BlackBasta e quali sono le principali tattiche che vengono utilizzate

A quanto pare, non c’è un vero e proprio target mirato – a livello di obiettivi – per essere la vittima ideale di BlackBasta. Il fatto di utilizzare lo spray-and-pray, infatti, aumenta le probabilità di successo di un attacco ransomware, anche visto lo scarso livello di alfabetizzazione in cybersecurity anche nei principali gruppi economici e finanziari a livello globale. Tuttavia, il collegamento con Conti è solo dettato da somiglianze nel modus operandi: ci sono altre teorie che ricollegano BlackBasta a un altro tipo di comportamento cybercriminale. Black Basta, secondo il blog ufficiale di BlackBerry, è stato anche collegato all’autore della minaccia FIN7 (AKA Carbanak) per come riesce ad aggirare gli Endpoint Detection and Response (EDR) personalizzati e grazie all’uso sovrapposto di indirizzi IP per operazioni di comando e controllo.

Sempre gli esperti di BlackBerry definiscono in questo modo la strategia con cui BlackBasta opera: «La fase di crittografia di un attacco BlackBasta inizia disabilitando i prodotti antivirus, eseguendo un payload di crittografia in remoto tramite PowerShell ed eliminando le copie shadow del sistema utilizzando il programma vssadmin.exe. Da lì, BlackBasta esegue un payload ransomware personalizzato che ha subito almeno un cambiamento di versione significativo da quando è stato osservato per la prima volta».

Dal 2022, nel portfolio degli attacchi di BlackBasta ci sono state 19 aziende multinazionali, che si vanno ad aggiungere alle oltre 100 vittime di media grandezza che sono state colpite dai cybercriminali. Tra queste, si collocano vittime italiane esattamente come Synlab.

Share this article