Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

BRUTED: Il Tool di Black Basta che Apre le Porte ai Ransomware

Sandro Sana : 20 Marzo 2025 07:12

Nel contesto della cybersecurity, l’evoluzione delle minacce legate ai ransomware continua a rappresentare una delle sfide più complesse per le aziende e gli esperti di sicurezza. Uno dei gruppi più attivi e pericolosi del panorama attuale è Black Basta, che dal 2022 ha affermato la sua presenza nel settore del crimine informatico attraverso attacchi mirati a infrastrutture aziendali critiche. La sua peculiarità non risiede solo nell’uso del modello Ransomware-as-a-Service (RaaS), ma anche nell’adozione di strumenti sofisticati per il compromissione iniziale dei sistemi bersaglio.

Uno di questi strumenti è BRUTED, un framework automatizzato di brute forcing e credential stuffing, progettato per compromettere dispositivi di rete periferici esposti su Internet, come firewall, VPN e altri servizi di accesso remoto. La sua efficienza e capacità di adattamento lo rendono un’arma particolarmente insidiosa nelle mani di cybercriminali esperti.

Questa analisi approfondisce il funzionamento di BRUTED, il modus operandi di Black Basta e le implicazioni per la sicurezza informatica.

Black Basta: Un’Organizzazione Cybercriminale in Crescita

Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)
    •
    Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    Black Basta si è imposto come uno dei gruppi ransomware più attivi e letali degli ultimi anni. Operando come Ransomware-as-a-Service (RaaS), offre agli affiliati strumenti per eseguire attacchi altamente mirati, condividendo con essi una parte dei profitti derivanti dai riscatti. Le principali caratteristiche della loro strategia includono:

    • Doppia Estorsione: Dopo aver criptato i dati della vittima, il gruppo minaccia la pubblicazione delle informazioni rubate, aumentando la pressione per ottenere il pagamento.
    • Targetizzazione di Settori Critici: I settori più colpiti dagli attacchi di Black Basta includono:
      • Servizi aziendali (Business Services), per il loro elevato valore commerciale.
      • Industria manifatturiera (Manufacturing), dove l’interruzione operativa può causare perdite economiche enormi.
      • Infrastrutture critiche, spesso caratterizzate da scarsa resilienza agli attacchi cyber.
    • Utilizzo di strumenti avanzati come Cobalt Strike, Brute Ratel e, più recentemente, BRUTED, per massimizzare l’efficacia degli attacchi.

    L’introduzione di BRUTED ha permesso a Black Basta di automatizzare e scalare gli attacchi di accesso iniziale, rendendo ancora più difficile per le aziende difendersi.

    BRUTED: Come Funziona e Quali Sono i Suoi Obiettivi?

    BRUTED è un framework di attacco altamente avanzato che automatizza il processo di brute forcing e credential stuffing. Il suo scopo principale è quello di individuare dispositivi di rete vulnerabili e ottenere l’accesso iniziale ai sistemi aziendali.

    Le sue principali funzionalità includono:

    • Scansione automatizzata di Internet per identificare dispositivi esposti e potenzialmente vulnerabili.
    • Tentativi di accesso tramite brute force sfruttando database di credenziali rubate o deboli.
    • Adattabilità multi-vendor, con supporto specifico per diversi tipi di firewall, VPN e gateway di accesso remoto.
    • Persistenza e movimento laterale, facilitando l’accesso ai sistemi interni una volta compromesso il perimetro di sicurezza.

    Una volta ottenuto l’accesso iniziale, gli attaccanti sfruttano il framework per:

    1. Compromettere dispositivi chiave come firewall e VPN.
    2. Eseguire movimenti laterali all’interno della rete per ottenere privilegi più elevati.
    3. Distribuire il ransomware Black Basta, crittografando sistemi critici e bloccando l’operatività aziendale.

    BRUTED rappresenta quindi un passo in avanti nell’automazione degli attacchi, permettendo agli affiliati di Black Basta di operare con maggiore efficienza e su scala più ampia.

    Analisi della Mappa di Attacco: Una Visione Dettagliata

    L’immagine allegata fornisce una rappresentazione grafica estremamente dettagliata dell’infrastruttura di attacco basata su BRUTED e utilizzata da Black Basta. Analizzandola, emergono diversi livelli chiave dell’operazione:

    1. Origine dell’Attacco (Lato Sinistro)

    • Connessioni con la Russia: L’immagine suggerisce un legame con attori malevoli operanti dalla Federazione Russa.
    • Settori maggiormente colpiti: Business Services e Manufacturing risultano tra i principali obiettivi.
    • Strumenti di attacco: Oltre a BRUTED, vengono utilizzati strumenti di post-exploitation come Cobalt Strike e Brute Ratel.

    2. Host Compromessi e Tecniche di Attacco (Centro)

    • Il cluster centrale dell’immagine mostra un insieme di dispositivi esposti su Internet.
    • Ogni nodo rappresenta un host vulnerabile, probabilmente identificato tramite scansioni automatizzate.
    • Le connessioni tra i nodi indicano attacchi mirati, con utilizzo di brute force e credential stuffing su larga scala.

    3. Indicatori di Compromissione (Lato Destro)

    • L’elenco di domini e IP compromessi mostra le infrastrutture usate da Black Basta per il comando e controllo (C2).
    • I colori distinti rappresentano il livello di criticità e l’associazione con specifici attacchi.
    • IP e DNS evidenziati in rosso corrispondono a infrastrutture attualmente attive e pericolose.

    Questa analisi grafica fornisce un quadro chiaro delle tecniche di attacco e permette agli esperti di cybersecurity di identificare gli indicatori chiave di compromissione (IoC).

    Come Difendersi da BRUTED e Black Basta

    Per mitigare il rischio di compromissione da parte di BRUTED e Black Basta, le aziende devono adottare strategie di sicurezza avanzate, tra cui:

    1. Protezione degli Endpoint di Rete:
      • Bloccare l’accesso remoto non necessario.
      • Configurare firewall per limitare accessi sospetti.
    2. Gestione Sicura delle Credenziali:
      • Forzare l’uso dell’autenticazione multi-fattore (MFA).
      • Evitare il riutilizzo di password deboli.
    3. Monitoraggio Attivo degli Indicatori di Compromissione:
      • Aggiornare costantemente le blacklist di IP e domini malevoli.
      • Analizzare tentativi di accesso anomali e bloccare gli indirizzi sospetti.
    4. Patch Management:
      • Mantenere aggiornati firmware e software di firewall e VPN.
      • Applicare patch di sicurezza contro vulnerabilità note.

    L’integrazione di BRUTED nel modello di attacco di Black Basta rappresenta un’evoluzione nella criminalità informatica, aumentando la velocità e la scalabilità degli attacchi. Le aziende devono adottare misure proattive e strategie difensive solide per contrastare questa minaccia in crescita.

    Un approccio basato su zero-trust, MFA e monitoraggio attivo è fondamentale per difendersi efficacemente da queste minacce in continua evoluzione.

    Sandro Sana
    Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA.

    Lista degli articoli
    Visita il sito web dell'autore

    Articoli in evidenza

    Attacco Hacker a 4chan! Dove è nato Anonymous, probabilmente chiuderà per sempre

    L’imageboard di 4chan è praticamente inattivo da lunedì sera (14 aprile), apparentemente a causa di un attacco hacker. I membri dell’imageboard Soyjak party (noto anche semplic...

    Zero-day su iPhone, Mac e iPad: Apple corre ai ripari con patch d’emergenza

    Apple ha rilasciato patch di emergenza per correggere due vulnerabilità zero-day. Secondo l’azienda, questi problemi sono stati sfruttati in attacchi mirati ed “estremamen...

    CVE e MITRE salvato dagli USA. L’Europa spettatrice inerme della propria Sicurezza Nazionale

    Quanto accaduto in questi giorni deve rappresentare un campanello d’allarme per l’Europa.Mentre il programma CVE — pilastro della sicurezza informatica globale — rischiava ...

    Spotify è Andato giù e DarkStorm Rivendica un attacco DDoS col botto!

    ​Il 16 aprile 2025, Spotify ha subito un’interruzione del servizio che ha colpito numerosi utenti in Italia e nel mondo. A partire dalle ore 14:00, migliaia di segnalazioni sono state re...

    20 Milioni di euro persi da IKEA per un attacco Ransomware

    Fourlis Group, il gestore dei negozi IKEA in Grecia, Cipro, Romania e Bulgaria, ha dichiarato di aver subito un attacco ransomware prima del Black Friday del 27 novembre 2024, che ha causato...

    Categorie
    Segui i corsi di ethical hacking di CyberSecurityUP
    Banner
    Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

    PRINCIPALI CATEGORIE
    Attacchi Informatici Italiani
    Dark Web & Cybercrime
    0day, bug e Vulnerabilità
    Hacking
    Cybersecurity Italia
    Cyberpolitica & Intelligence

    RISORSE
    Academy
    Rubriche
    Il manifesto di Red Hot Cyber
    Feed RSS
    Contatti

    Copyright @ REDHOTCYBER Srl
    PIVA 17898011006