Automatizza il contenimento degli attacchi ibridi con 360 Response

Automatizza il contenimento degli attacchi ibridi con 360 Response >

Vectra AI, una delle aziende leader nel Magic Quadrant 2025 di Gartner per il rilevamento e la risposta di rete (NDR)
Icona hamburger nella riga superiore
Icona hamburger linea centrale
Icona hamburger in basso
Tecniche di attacco

Come Black Basta i dati pubblici in un manuale per violazioni

25 giugno 2025
Lucie Cardiet
Responsabile della ricerca sulle minacce informatiche
Come Black Basta i dati pubblici in un manuale per violazioni
Questo blog è stato originariamente pubblicato su SC Media ed è ripubblicato qui con il permesso dell'autore.

Nel maggio 2025, alcune chat interne trapelate dal gruppo Black Basta hanno rivelato come gli aggressori abbiano utilizzato dati pubblici per profilare le aziende, identificare le infrastrutture vulnerabili e ottenere silenziosamente l'accesso (il tutto prima di lanciare un singolo payload dannoso).

Il loro approccio era sorprendentemente metodico. Gli affiliati iniziavano con strumenti come ZoomInfo per filtrare i potenziali obiettivi in base alle dimensioni, al settore e al fatturato. Una volta che un'azienda veniva segnalata come obiettivo di alto valore, passavano a LinkedIn per mappare l'organigramma e analizzare gli annunci di lavoro per capire quali tecnologie fossero in uso. Da lì, utilizzavano piattaforme di arricchimento dei contatti come RocketReach e SignalHire per raccogliere indirizzi e-mail, proprio come farebbe un team di vendita durante la ricerca di potenziali clienti.

Ma non si sono limitati ai dati dei dipendenti. Utilizzando piattaforme come Shodan e FOFA, il gruppo ha scansionato Internet alla ricerca di infrastrutture esposte: portali VPN, istanze Citrix, dispositivi vulnerabili come SonicWall o Fortinet e cloud come Jenkins o ESXi. In alcuni casi, disponevano già di credenziali trapelate da precedenti violazioni, che hanno permesso loro di accedere senza far scattare alcun allarme.

Non si è trattato di un zero-day né di un lavoro dall'interno. È stato un esempio da manuale di come gli aggressori possano sfruttare l'Open-Source Intelligence (OSINT) come arma.

Che cos'è l'OSINT e perché è importante

OSINT è la pratica di raccogliere e analizzare informazioni disponibili pubblicamente per generare intelligence utilizzabile. Sebbene sia uno strumento potente per i team di sicurezza informatica e gli investigatori, è anche una tecnica utilizzata dagli aggressori nelle prime fasi di una violazione. Dai blog aziendali e dai repository pubblici ai post sui social media e alle credenziali trapelate, OSINT fornisce agli autori delle minacce tutto ciò di cui hanno bisogno per capire come opera un'organizzazione e dove potrebbe essere esposta.

Black Basta inventato questo metodo. Lo ha semplicemente utilizzato bene e non è l'unico.

Cosa cercano gli aggressori

Sebbene le informazioni OSINT provengano da innumerevoli fonti, esse rientrano generalmente in quattro categorie principali:

  1. Dati personali
    I profili sui social media, i forum pubblici e le biografie dei relatori aiutano gli aggressori a identificare i dipendenti chiave, la struttura organizzativa e le abitudini lavorative.
  2. Esposizione aziendale e tecnica
    Gli annunci di lavoro, i comunicati stampa dei fornitori, i repository GitHub e i record WHOIS rivelano lo stack tecnologico in uso e qualsiasi modifica recente che potrebbe introdurre vulnerabilità.
  3. Impronte infrastrutturali
    Strumenti come Shodan e FOFA vengono utilizzati per individuare servizi esposti a Internet (VPN, cloud , porte aperte o software obsoleti).
  4. Credenziali trapelate
    I dump di password provenienti da violazioni passate sono facili da trovare e spesso vengono riutilizzati. Gli aggressori li utilizzano per accedere agli account in modo silenzioso, soprattutto se non viene applicata l'autenticazione a più fattori (MFA).

In breve, gli aggressori combinano frammenti sparsi di dati pubblici in una mappa completa e accurata del vostro ambiente, spesso con un contesto migliore rispetto a quello dei team interni.

Cosa puoi fare oggi

Ridurre la propria impronta digitale richiede uno sforzo, ma è uno dei modi più efficaci per rallentare gli aggressori e ostacolare la ricognizione. Iniziate con questi passaggi:

Per tutti:

  • Effettua regolarmente ricerche su te stesso. Guarda cosa compare quando cerchi su Google il tuo nome, la tua email o i tuoi lavori precedenti. Rimuovi tutto ciò che rivela progetti sensibili, strumenti interni o dettagli di contatto.
  • Pensa prima di pubblicare. Evita di condividere foto dell'ufficio, dettagli tecnici o nomi di fornitori nei forum pubblici e sulle piattaforme social.
  • Pulisci i tuoi file. Rimuovi i metadati dai documenti e dalle immagini prima di condividerli con l'esterno. Strumenti come ExifTool possono aiutarti.
  • Separa gli account di lavoro da quelli personali. Mantieni privata la tua vita personale e limita le informazioni professionali accessibili al pubblico.
  • Presta attenzione alle tecniche di social engineering. Se qualcuno ti contatta fornendo dettagli stranamente specifici, verifica prima di rispondere o cliccare.

Per i team di sicurezza:

  • Monitora i domini simili. Imposta avvisi per i domini appena registrati che imitano il tuo marchio e agisci prima che vengano utilizzati a scopo dannoso.
  • Rivedere i controlli di accesso. Limitare le autorizzazioni allo stretto necessario e rimuovere gli account obsoleti o le credenziali di servizio inutilizzate.
  • Segmenta la tua rete. Assicurati che i sistemi di sviluppo, produzione e interni siano isolati per ridurre il raggio d'azione di eventuali intrusioni.
  • Simula un attacco basato su OSINT. Incarica il tuo red team di raccogliere solo dati pubblici e verifica fino a che punto riescono ad arrivare. Utilizza i risultati per definire i controlli e la formazione sulla consapevolezza.

Il quadro generale

Il Black Basta dovrebbe servire da campanello d'allarme. Non è necessario uno zero-day quando le persone e i sistemi espongono tutto ciò di cui gli aggressori hanno bisogno. La sicurezza non riguarda solo l'applicazione di patch ai sistemi o l'implementazione degli strumenti più recenti: riguarda anche la consapevolezza, l'igiene digitale e il rendere più difficile per gli avversari raccogliere le informazioni su cui fanno affidamento. Ridurre la propria esposizione pubblica e rilevare i primi segni di compromissione (in particolare a livello di identità, rete e cloud) non è facoltativo. È la nuova base di riferimento per la difesa.

Vectra AI : quando la prevenzione non basta

Anche con queste buone abitudini, firewall potenti e endpoint , gli aggressori potrebbero trovare il modo di aggirare la vostra sicurezza. Non temete, quando la prevenzione da sola non basta a fermare un attacco, entra in gioco la Vectra AI . Vectra AI monitora Vectra AI il traffico di rete, cloud e l'attività SaaS per rilevare i segni più sottili di compromissione. Se un hacker aggira un firewall o phishing , l'analisi basata sull'intelligenza artificiale Vectra AIindividua modelli insoliti, come un'identità utente valida che si autentica da una posizione inaspettata, accede a cloud sensibili o un account di servizio che effettua chiamate API rare. Poiché si concentra sull'identità e sul comportamento, Vectra AI minacce che altre difese non riescono a individuare e avvisa immediatamente i team di sicurezza, in modo che possano agire prima che i dati vadano persi.

Vuoi vedere la piattaforma in azione? Richiedi una demo.

Domande frequenti