Vectra AI è stata nominata Leader nel Quadrante Magico Gartner 2025 per Network Detection and Response (NDR). >
NUOVO
APPENA PUBBLICATO

Vectra AI è stata nominata Leader nel Quadrante Magico Gartner 2025 per Network Detection and Response (NDR). >

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Icona dell'hamburger in alto
Icona dell'hamburger linea centrale
Icona dell'hamburger linea di fondo
Tecniche di attacco

Come Black Basta ha trasformato i dati pubblici in un libro di ricette per le violazioni

25 giugno 2025
Lucie Cardiet
Responsabile marketing prodotti
Come Black Basta ha trasformato i dati pubblici in un libro di ricette per le violazioni
Questo blog è stato originariamente pubblicato come byline in SC Media e viene ripubblicato qui con l'autorizzazione.

In May 2025, leaked internal chat logs from the Black Basta ransomware group revealed how attackers used public data to profile companies, identify vulnerable infrastructure, and quietly gain access (all before launching a single malicious payload).

Il loro approccio è stato straordinariamente metodico. Gli affiliati hanno iniziato con strumenti come ZoomInfo per filtrare i potenziali obiettivi in base a dimensioni, settore e fatturato. Una volta individuata un'azienda come target di alto valore, si sono rivolti a LinkedIn per mappare l'organigramma e analizzare gli annunci di lavoro per capire quali tecnologie fossero in uso. Da lì, hanno utilizzato piattaforme di arricchimento dei contatti come RocketReach e SignalHire per raccogliere indirizzi e-mail, proprio come farebbe un team di vendita durante la prospezione.

Ma non si è fermato ai dati dei dipendenti. Utilizzando piattaforme come Shodan e FOFA, il gruppo ha scansionato Internet alla ricerca di infrastrutture esposte: portali VPN, istanze Citrix, dispositivi vulnerabili come SonicWall o Fortinet e servizi cloud come Jenkins o ESXi. In alcuni casi, disponevano già di credenziali trapelate da precedenti violazioni, che consentivano loro di accedere senza far scattare alcun allarme.

Non si è trattato di un exploit zero-day o di un lavoro di un insider. Si è trattato di un esempio da manuale di come gli aggressori possano utilizzare come arma l'Open-Source Intelligence (OSINT).

Cos'è l'OSINT e perché è importante

L'OSINT è la pratica di raccogliere e analizzare le informazioni disponibili pubblicamente per generare intelligence utilizzabile. Se da un lato è uno strumento potente per i team di cybersecurity e gli investigatori, dall'altro è anche una tecnica di punta per gli aggressori durante le prime fasi di una violazione. Dai blog aziendali e dai repository pubblici ai post sui social media e alle credenziali trapelate, l 'OSINT fornisce agli attori delle minacce tutto ciò di cui hanno bisogno per capire come opera un'organizzazione e dove potrebbe essere esposta.

Black Basta non hanno inventato questo metodo. Lo hanno solo usato bene e non sono i soli.

Cosa cercano gli aggressori

Sebbene l'OSINT provenga da innumerevoli fonti, in genere rientra in quattro categorie principali:

  1. Dati sulle persone
    I profili dei social media, i forum pubblici e le biografie dei relatori aiutano gli aggressori a identificare i dipendenti chiave, la struttura organizzativa e le abitudini di lavoro.
  2. Esposizione aziendale e tecnica
    Gli annunci di lavoro, i comunicati stampa dei fornitori, i repository GitHub e i record WHOIS rivelano lo stack tecnologico in uso ed eventuali modifiche recenti che potrebbero introdurre vulnerabilità.
  3. Impronte dell'infrastruttura
    Strumenti come Shodan e FOFA vengono utilizzati per trovare servizi esposti a Internet (VPN, applicazioni cloud , porte aperte o software obsoleto).
  4. Credenziali trapelate
    I dump di password provenienti da violazioni passate sono facili da trovare e spesso vengono riutilizzati. Gli aggressori li utilizzano per accedere agli account in modo silenzioso, soprattutto se l'MFA non viene applicato.

In breve, gli aggressori combinano pezzi sparsi di dati pubblici in una mappa completa e accurata del vostro ambiente, spesso con un contesto migliore di quello di cui dispongono i team interni.

Cosa potete fare oggi

Ridurre la propria impronta digitale richiede impegno, ma è uno dei modi più efficaci per rallentare gli aggressori e interrompere la ricognizione. Iniziate con questi passi:

Per tutti:

  • Effettuate regolarmente una ricerca su voi stessi. Verificate cosa appare quando cercate su Google il vostro nome, la vostra e-mail o il vostro lavoro passato. Eliminate tutto ciò che rivela progetti sensibili, strumenti interni o dettagli di contatto.
  • Pensate prima di postare. Evitate di condividere foto dell'ufficio, dettagli tecnici o nomi di fornitori su forum pubblici e piattaforme sociali.
  • Pulite i vostri file. Eliminate i metadati da documenti e immagini prima di condividerli all'esterno. Strumenti come ExifTool possono aiutare.
  • Separate gli account di lavoro da quelli personali. Mantenete la vostra vita privata e limitate i dettagli professionali accessibili al pubblico.
  • State attenti all'ingegneria sociale. Se qualcuno vi contatta usando dettagli stranamente specifici, verificate prima di rispondere o fare clic.

Per i team di sicurezza:

  • Monitorare i domini lookalike. Impostate avvisi per i domini appena registrati che imitano il vostro marchio e agite prima che diventino un'arma.
  • Rivedere i controlli di accesso. Limitate le autorizzazioni allo stretto necessario e rimuovete gli account obsoleti o le credenziali di servizio inutilizzate.
  • Segmentare la rete. Assicuratevi che i sistemi di sviluppo, produzione e interni siano isolati per ridurre il raggio d'azione di qualsiasi intrusione.
  • Simulare un attacco basato su OSINT. Incaricate il vostro red team di raccogliere solo dati pubblici e vedete fino a che punto possono arrivare. Utilizzate i risultati per informare i controlli e i corsi di sensibilizzazione.

Il quadro generale

Il Black Basta dovrebbe servire da campanello d'allarme. Non è necessario un exploit zero-day quando le persone e i sistemi espongono tutto ciò di cui gli aggressori hanno bisogno. La sicurezza non consiste solo nell'applicare patch ai sistemi o nell'implementare gli strumenti più recenti: si tratta anche di consapevolezza, igiene digitale e di rendere più difficile per gli avversari raccogliere le informazioni su cui fanno affidamento. Ridurre l'esposizione pubblica e rilevare i primi segni di compromissione (in particolare tra identità, rete e cloud) non è facoltativo. È la nuova linea di base per la difesa.

La piattaforma Vectra AI : Quando la prevenzione non è sufficiente

Anche con queste buone abitudini, firewall forti e difese endpoint , gli aggressori possono trovare il modo di aggirare la vostra sicurezza. Quando la sola prevenzione non è in grado di fermare un attacco, interviene la piattaformaVectra AI . Vectra AI osserva costantemente il traffico di rete, l'identità cloud e l'attività SaaS per rilevare i segni più impercettibili di compromissione. Se un aggressore aggira un firewall o un filtro phishing , l'analisi guidata dall'intelligenza artificiale di Vectra AIindividua schemi insoliti, come l'autenticazione di un'identità utente valida da una posizione inaspettata, l'accesso a risorse cloud sensibili o un account di servizio che effettua rare chiamate API. Poiché si concentra sull'identità e sul comportamento, Vectra AI individua le minacce che altre difese non riescono a individuare e avvisa immediatamente i team di sicurezza, in modo che possano intervenire prima che i dati vadano persi.

Volete vedere la piattaforma in azione? Richiedete una demo.

DOMANDE FREQUENTI