Diamo valore alla tua privacy

Utilizziamo i cookie per migliorare la tua esperienza di navigazione e analizzare il traffico in modo anonimo per scopi statistici interni. Cliccando “Accetta tutti”, acconsenti all'uso dei cookie.

Personalizza le preferenze di consenso

Utilizziamo i cookie per aiutarti a navigare in maniera efficiente e a svolgere determinate funzioni. Troverai informazioni dettagliate su tutti i cookie sotto ogni categoria di consensi sottostanti. I cookie categorizzatati come “Necessari” vengono memorizzati sul tuo browser in quanto essenziali per consentire le funzionalità di base del sito.... 

Sempre attivi

I cookie necessari sono fondamentali per le funzioni di base del sito Web e il sito Web non funzionerà nel modo previsto senza di essi. Questi cookie non memorizzano dati identificativi personali.

  • Cookie
    cookieyes-consent
  • Durata
    1 anno
  • descrizione

    CookieYes imposta questo cookie per ricordare le preferenze di consenso degli utenti in modo che le loro preferenze siano rispettate nelle visite successive a questo sito. Non raccoglie o memorizza alcuna informazione personale sui visitatori del sito.

I cookie funzionali aiutano a svolgere determinate funzionalità come la condivisione del contenuto del sito Web su piattaforme di social media, la raccolta di feedback e altre funzionalità di terze parti.

  • Cookie
    language
  • Durata
    1 anno
  • descrizione
    Questo cookie viene utilizzato per memorizzare la preferenza linguistica dell'utente.
  • Cookie
    post_viewed_
  • Durata
    1 ora
  • descrizione

    Questo cookie impedisce che una singola visita ad un articolo venga conteggiata più volte all'aggiornamento della pagina.

I cookie analitici vengono utilizzati per comprendere come i visitatori interagiscono con il sito Web. Questi cookie aiutano a fornire informazioni sulle metriche di numero di visitatori, frequenza di rimbalzo, fonte di traffico, ecc.

  • Cookie
    _ga_*
  • Durata
    1 anno 1 mese 4 giorni
  • descrizione

    Google Analytics imposta questo cookies per contare i visitatori della pagina

  • Cookie
    _ga
  • Durata
    1 anno 1 mese 4 giorni
  • descrizione

    Google Analytics imposta questo cookie per calcolare i dati di visitatori, sessioni e campagne e tracciare l'utilizzo del sito per il report analitico del sito. Il cookie memorizza le informazioni in modo anonimo e assegna un numero generato casualmente per riconoscere i visitatori unici.

I cookie per le prestazioni vengono utilizzati per comprendere e analizzare gli indici di prestazione chiave del sito Web che aiutano a fornire ai visitatori un'esperienza utente migliore.

Nessun cookie da visualizzare.

I cookie pubblicitari vengono utilizzati per fornire ai visitatori annunci pubblicitari personalizzati in base alle pagine visitate in precedenza e per analizzare l'efficacia della campagna pubblicitaria.

Nessun cookie da visualizzare.

Minacce

Black Basta: chi sono e perché preoccupano 

Scopri chi è Black Basta, le loro tattiche di cyberattacco e come proteggere la tua azienda da questa minaccia emergente.

Attacchi ransomware

31 Marzo 2025

Indice dei contenuti

  • Black Basta: chi sono? 
  • Come proteggersi da Black Basta 

Black Basta è un nome che negli ultimi mesi ha iniziato a circolare sempre più frequentemente nei forum di cyber security e nei report di intelligence.

Ma chi sono esattamente? E perché rappresentano una minaccia così significativa per le aziende e le istituzioni?

In questo articolo, esploreremo le origini di Black Basta, le loro tattiche e come proteggersi da questo gruppo di hacker sempre più attivo. 

Black Basta: chi sono? 

Black Basta è un gruppo di hacker emerso nel 2022, noto per i suoi attacchi ransomware altamente sofisticati. Il gruppo si è rapidamente guadagnato una reputazione per la sua capacità di infiltrarsi nelle reti aziendali, crittografare i dati e richiedere riscatti in criptovalute.

Nonostante la relativa novità, Black Basta ha già colpito diverse organizzazioni in tutto il mondo, dimostrando una notevole efficienza e organizzazione. 

Le origini di Black Basta 

Le origini di Black Basta sono ancora avvolte nel mistero, ma alcuni esperti di cyber security ritengono che il gruppo possa essere una derivazione o una collaborazione tra membri di altre famigerate organizzazioni di hacker, come Conti o REvil.

Questa ipotesi è supportata dalla somiglianza nelle tattiche e nelle tecniche utilizzate, nonché dalla rapidità con cui Black Basta è riuscito a stabilirsi come una minaccia credibile. 

La struttura di Black Basta 

Black Basta opera in modo altamente decentralizzato, il che rende difficile per le autorità tracciarli e fermarli. Il gruppo è composto da individui altamente qualificati, con competenze specifiche in hacking, crittografia e social engineering.

Questa diversità di competenze permette a Black Basta di eseguire attacchi complessi e coordinati, spesso bypassando le difese tradizionali delle aziende. 

Gli obiettivi di Black Basta 

Black Basta non sembra avere un obiettivo geografico o settoriale specifico. Hanno colpito aziende in tutto il mondo, operanti in settori come la sanità, la finanza, l’istruzione e la manifattura.

Questo approccio indiscriminato aumenta la portata della loro minaccia, rendendo praticamente qualsiasi organizzazione un potenziale bersaglio. 

Le tattiche di Black Basta 

Uno degli aspetti più preoccupanti di Black Basta è la loro capacità di adattarsi rapidamente alle nuove misure di sicurezza. Questo gruppo di hacker utilizza una combinazione di tecniche avanzate per infiltrarsi nelle reti aziendali, compromettere i sistemi e massimizzare il danno.

Di seguito, approfondiamo le principali tattiche utilizzate da Black Basta, spiegando come operano e perché sono così efficaci. 

Phishing: la porta d’ingresso 

Il phishing è una delle tattiche più comuni e iniziali utilizzate da Black Basta. Attraverso email ingannevoli, messaggi su piattaforme di comunicazione aziendale o persino falsi siti web, il gruppo cerca di convincere i dipendenti a fornire credenziali di accesso o a cliccare su link dannosi.

Questi attacchi sono spesso altamente personalizzati, sfruttando informazioni pubbliche o rubate per apparire credibili. 

Esempio
Black Basta potrebbe inviare un’email che sembra provenire da un fornitore affidabile o da un collega, contenente un allegato infetto o un link a un sito di malware. Una volta che il dipendente cade nella trappola, gli hacker ottengono un punto d’appoggio nella rete aziendale. 

Exploit di vulnerabilità: sfruttare le falle 

Una volta ottenuto l’accesso iniziale, Black Basta cerca di sfruttare le vulnerabilità presenti nei sistemi aziendali. Queste vulnerabilità possono includere software non aggiornati, configurazioni errate o difetti noti nei sistemi operativi e nelle applicazioni. 

Il gruppo è particolarmente abile nell’identificare e sfruttare zero-day vulnerability, ovvero falle di sicurezza non ancora note al pubblico o ai produttori di software.

Questo rende particolarmente difficile per le aziende difendersi, poiché non esistono patch o aggiornamenti disponibili per correggere queste vulnerabilità. 

Lateral movement: espandersi nella rete 

Una delle tattiche più sofisticate di Black Basta è il lateral movement, ovvero la capacità di muoversi lateralmente all’interno di una rete aziendale dopo aver ottenuto l’accesso iniziale.

Questo permette al gruppo di accedere a sistemi più critici e sensibili, come server di database, backup o sistemi di gestione aziendale. 

Per fare ciò, Black Basta utilizza strumenti come Pass-the-Hash o Pass-the-Ticket, che consentono di sfruttare le credenziali rubate per accedere ad altri dispositivi senza doverle decifrare.

Inoltre, il gruppo può installare backdoor o strumenti di accesso remoto per mantenere il controllo sui sistemi compromessi, anche dopo che le credenziali iniziali sono state modificate. 

Crittografia dei dati: il colpo finale 

Una volta ottenuto l’accesso ai sistemi critici, Black Basta procede con la crittografia dei dati sensibili. Utilizzano algoritmi di crittografia avanzati per rendere i file inaccessibili senza una chiave di decrittazione, che viene detenuta dal gruppo.

Questo è il momento in cui l’attacco ransomware diventa evidente: i file crittografati vengono contrassegnati con estensioni specifiche (ad esempio, “.basta”) e viene lasciata una nota di riscatto. 

La nota di riscatto, spesso in forma di file di testo o immagine, fornisce istruzioni su come contattare il gruppo e pagare il riscatto, solitamente in criptovalute come Bitcoin o Monero. In molti casi, Black Basta minaccia di pubblicare i dati rubati su dark web se il pagamento non viene effettuato entro un determinato periodo di tempo. 

Doppia estorsione: una minaccia aggiuntiva 

Una delle tattiche più insidiose di Black Basta è la doppia estorsione. Oltre a crittografare i dati, il gruppo ruba anche informazioni sensibili prima di renderle inaccessibili. Questo significa che, anche se un’azienda riuscisse a ripristinare i dati dai backup, Black Basta potrebbe comunque minacciare di pubblicare le informazioni rubate, causando danni reputazionali, legali e finanziari. 

Questa tattica aumenta notevolmente la pressione sulle vittime, spingendole a pagare il riscatto per evitare che i dati vengano resi pubblici.

In alcuni casi, il gruppo ha persino creato siti web dedicati per pubblicare i dati delle aziende che si rifiutano di pagare, aumentando ulteriormente il loro potere di coercizione. 

Adattabilità e innovazione 

Ciò che rende Black Basta particolarmente pericoloso è la loro capacità di adattarsi rapidamente alle nuove misure di sicurezza. Il gruppo monitora costantemente le tendenze del settore della cyber security e modifica le proprie tattiche per eludere le difese più recenti.

Esempio
Se un’azienda implementa nuove protezioni contro il phishing, Black Basta potrebbe passare a tecniche di spear phishing più mirate o sfruttare nuove vulnerabilità. 

Inoltre, il gruppo utilizza strumenti e tecniche che sono difficili da rilevare, come fileless malware, che non lascia tracce sul disco rigido, o living-off-the-land (LotL), che sfrutta strumenti legittimi già presenti nei sistemi aziendali per eseguire attacchi. 

Perché Black Basta è così pericoloso? 

Black Basta rappresenta una minaccia significativa per diverse ragioni. In primo luogo, la loro capacità di operare in modo anonimo e decentralizzato rende difficile per le autorità tracciarli e fermarli.

In secondo luogo, la loro sofisticazione tecnica significa che possono bypassare molte delle difese tradizionali, rendendo difficile per le aziende proteggersi adeguatamente. 

Specializzato in attacchi ransomware

Come proteggersi da Black Basta 

Proteggersi da Black Basta richiede un approccio multilivello, poiché il gruppo utilizza una combinazione di tattiche avanzate per infiltrarsi nelle reti aziendali.

Di seguito, approfondiamo le misure chiave che le aziende possono adottare per ridurre il rischio di cadere vittima di un attacco di Black Basta

1. Formazione dei dipendenti 

Il phishing è una delle principali vie di accesso utilizzate da Black Basta. Per questo motivo, è essenziale che i dipendenti siano ben formati per riconoscere e evitare queste minacce. Ecco alcuni passaggi concreti: 

  • Simulazioni di phishing
    Organizzare regolarmente esercitazioni per testare la capacità dei dipendenti di identificare email sospette. 
  • Formazione continua
    Fornire corsi di aggiornamento sulle ultime tecniche di phishing e sulle best practice per la sicurezza informatica. 
  • Politiche chiare
    Stabilire linee guida su come gestire email, allegati e link sospetti, incoraggiando i dipendenti a segnalare eventuali attività anomale. 

2. Aggiornamenti regolari 

Black Basta sfrutta spesso vulnerabilità note nei software e nei sistemi operativi. Mantenere tutti i sistemi e i software aggiornati è quindi fondamentale per chiudere queste falle. Ecco come farlo: 

  • Patch management
    Implementare un sistema automatizzato per applicare patch e aggiornamenti di sicurezza non appena disponibili. 
  • Inventario dei dispositivi
    Tenere traccia di tutti i dispositivi connessi alla rete per garantire che nessuno sia lasciato senza aggiornamenti. 
  • Monitoraggio delle vulnerabilità
    Utilizzare strumenti di scansione per identificare e correggere rapidamente le vulnerabilità nei sistemi. 

3. Backup frequenti 

I backup regolari dei dati critici sono una delle difese più efficaci contro gli attacchi ransomware come quelli di Black Basta. Ecco alcune best practice: 

  • Frequenza dei backup
    Eseguire backup giornalieri o settimanali, a seconda del volume e della criticità dei dati. 
  • Archiviazione sicura
    Conservare i backup in ambienti isolati dalla rete principale, preferibilmente offline o su cloud protetti. 
  • Test di ripristino
    Verificare regolarmente che i backup siano integri e che i dati possano essere ripristinati rapidamente in caso di necessità. 

4. Monitoraggio continuo 

Il monitoraggio della rete in tempo reale è essenziale per rilevare attività sospette prima che si trasformino in un attacco completo. Ecco come implementare un sistema di monitoraggio efficace: 

  • Soluzioni EDR (Endpoint Detection and Response)
    Utilizzare strumenti avanzati per monitorare i dispositivi endpoint e rilevare comportamenti anomali. 
  • SIEM (Security Information and Event Management)
    Centralizzare la raccolta e l’analisi dei log di sicurezza per identificare potenziali minacce. 
  • Allarmi automatici
    Configurare allarmi per notificare immediatamente il team di sicurezza in caso di attività sospette, come accessi non autorizzati o movimenti laterali nella rete. 

5. Segmentazione della rete 

La segmentazione della rete è una strategia efficace per limitare i danni in caso di intrusione. Ecco come applicarla: 

  • Isolamento dei sistemi critici
    Separare i sistemi più sensibili (ad esempio, server di database o sistemi di gestione) dal resto della rete. 
  • Controllo degli accessi
    Implementare politiche di accesso basate sul principio del “minimo privilegio”, garantendo che i dipendenti abbiano accesso solo ai dati e ai sistemi necessari per il loro lavoro. 
  • Firewall e VLAN
    Utilizzare firewall e reti VLAN (Virtual Local Area Network) per creare barriere aggiuntive tra i segmenti della rete. 

6. Piani di risposta agli incidenti 

Avere un piano di risposta agli incidenti ben definito è cruciale per reagire rapidamente a un attacco di Black Basta. Ecco cosa includere: 

  • Team di risposta
    Designare un team dedicato alla gestione degli incidenti di sicurezza. 
  • Procedure chiare
    Stabilire procedure dettagliate per isolare i sistemi compromessi, contenere l’attacco e ripristinare le operazioni. 
  • Simulazioni regolari
    Eseguire esercitazioni per testare l’efficacia del piano e identificare eventuali aree di miglioramento.

Conclusione

Black Basta è un gruppo di hacker che rappresenta una minaccia reale e crescente per le aziende di tutto il mondo. La loro sofisticazione e capacità di adattamento li rendono particolarmente pericolosi.

Tuttavia, con le giuste misure di sicurezza e una formazione adeguata, è possibile ridurre significativamente il rischio di cadere vittima dei loro attacchi. La cyber security è un campo in continua evoluzione, e rimanere informati e preparati è la migliore difesa contro minacce come Black Basta

Domande e risposte 

  1. Chi sono i Black Basta? 
    Black Basta è un gruppo di hacker specializzato in attacchi ransomware. 
  1. Quando è emerso Black Basta? 
    Il gruppo è emerso nel 2022. 
  1. Quali sono le tattiche di Black Basta? 
    Utilizzano phishing, exploit di vulnerabilità e tecniche di lateral movement. 
  1. Perché Black Basta è pericoloso? 
    Sono altamente sofisticati e difficili da tracciare. 
  1. Come proteggersi da Black Basta? 
    Formazione dei dipendenti, aggiornamenti regolari, backup frequenti e monitoraggio continuo. 
  1. Black Basta ha colpito grandi aziende? 
    Sì, hanno colpito diverse organizzazioni a livello globale. 
  1. Black Basta richiede riscatti? 
    Sì, richiedono riscatti in criptovalute. 
  1. Black Basta pubblica i dati rubati? 
    Minacciano di pubblicare i dati se il riscatto non viene pagato. 
  1. Qual è la criptovaluta preferita da Black Basta? 
    Utilizzano principalmente Bitcoin e Monero. 
  1. Esiste un modo per decriptare i dati senza pagare? 
    In alcuni casi, gli esperti di sicurezza sono riusciti a sviluppare strumenti di decrittazione, ma non è garantito. 
3
To top