Le chat interne del gruppo ransomware Black Basta sono state recentemente pubblicate online, offrendo uno sguardo senza precedenti sulle loro tattiche e i conflitti interni. Queste conversazioni, intercettate da settembre 2023 a settembre 2024, sono state rivelate da un individuo noto come ExploitWhispers. La motivazione dietro la pubblicazione delle chat sembra essere il malcontento per gli attacchi del gruppo contro le banche russe. Black Basta, noto per aver utilizzato QakBot come veicolo di distribuzione, è stato particolarmente attivo dal 2022, con il governo degli Stati Uniti che lo ha segnalato per aver preso di mira oltre 500 entità in Nord America, Europa e Australia.

Nonostante il successo passato, con un guadagno stimato di 107 milioni di dollari in riscatti in Bitcoin, il gruppo ha vissuto tensioni interne che hanno portato a un'attività ridotta. Diversi membri hanno lasciato il gruppo, alcuni unendosi ad altre operazioni ransomware come CACTUS e Akira. Un personaggio chiave del dissenso interno è stato Tramp, noto per operare una rete di spam che distribuisce QBot.

La fuga di informazione ha rivelato dettagli sulla struttura del gruppo, con Lapa, Cortes e YY come amministratori principali. Inoltre, si è scoperto che il leader del gruppo, Oleg Nefedov, usa alias come Trump e GG. Le chat mostrano anche che Black Basta ha iniziato a integrare tecniche di ingegneria sociale nei loro attacchi, ispirati dal successo del gruppo Scattered Spider.

Secondo Qualys, Black Basta sfrutta vulnerabilità note e configurazioni errate per ottenere accesso iniziale alle reti bersaglio. Le discussioni evidenziano l'uso di malware droppers e piattaforme di file-sharing legittime per evitare la rilevazione. Questo modus operandi evidenzia la rapidità con cui i gruppi di ransomware possono passare dall'accesso iniziale al compromesso totale della rete.

Oltre a Black Basta, il rapporto menziona il ritorno in attività del gruppo Cl0p, che sta nuovamente prendendo di mira organizzazioni sfruttando una recente vulnerabilità di sicurezza. Inoltre, il gruppo Ghost è stato identificato mentre conduce attacchi diffusi sfruttando vulnerabilità in sistemi come Adobe ColdFusion e Microsoft Exchange Server, spesso utilizzando strumenti come Mimikatz per l'escalation dei privilegi.

In sintesi, queste rivelazioni mettono in luce la complessità e la dinamica interna dei gruppi di ransomware, evidenziando la necessità per le organizzazioni di rafforzare le proprie difese informatiche contro le minacce sempre più sofisticate.