Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Select language
English Spanish
Cerca

BRUTED: Il Tool di Black Basta che Apre le Porte ai Ransomware

Sandro Sana : 20 Marzo 2025 07:12

Nel contesto della cybersecurity, l’evoluzione delle minacce legate ai ransomware continua a rappresentare una delle sfide più complesse per le aziende e gli esperti di sicurezza. Uno dei gruppi più attivi e pericolosi del panorama attuale è Black Basta, che dal 2022 ha affermato la sua presenza nel settore del crimine informatico attraverso attacchi mirati a infrastrutture aziendali critiche. La sua peculiarità non risiede solo nell’uso del modello Ransomware-as-a-Service (RaaS), ma anche nell’adozione di strumenti sofisticati per il compromissione iniziale dei sistemi bersaglio.

Uno di questi strumenti è BRUTED, un framework automatizzato di brute forcing e credential stuffing, progettato per compromettere dispositivi di rete periferici esposti su Internet, come firewall, VPN e altri servizi di accesso remoto. La sua efficienza e capacità di adattamento lo rendono un’arma particolarmente insidiosa nelle mani di cybercriminali esperti.

Questa analisi approfondisce il funzionamento di BRUTED, il modus operandi di Black Basta e le implicazioni per la sicurezza informatica.

Black Basta: Un’Organizzazione Cybercriminale in Crescita


CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC

Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]


Supporta RHC attraverso:
  • L'acquisto del fumetto sul Cybersecurity Awareness
  • Ascoltando i nostri Podcast
  • Seguendo RHC su WhatsApp
  • Seguendo RHC su Telegram
  • Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab


    • Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


    Black Basta si è imposto come uno dei gruppi ransomware più attivi e letali degli ultimi anni. Operando come Ransomware-as-a-Service (RaaS), offre agli affiliati strumenti per eseguire attacchi altamente mirati, condividendo con essi una parte dei profitti derivanti dai riscatti. Le principali caratteristiche della loro strategia includono:

    • Doppia Estorsione: Dopo aver criptato i dati della vittima, il gruppo minaccia la pubblicazione delle informazioni rubate, aumentando la pressione per ottenere il pagamento.
    • Targetizzazione di Settori Critici: I settori più colpiti dagli attacchi di Black Basta includono:
      • Servizi aziendali (Business Services), per il loro elevato valore commerciale.
      • Industria manifatturiera (Manufacturing), dove l’interruzione operativa può causare perdite economiche enormi.
      • Infrastrutture critiche, spesso caratterizzate da scarsa resilienza agli attacchi cyber.
    • Utilizzo di strumenti avanzati come Cobalt Strike, Brute Ratel e, più recentemente, BRUTED, per massimizzare l’efficacia degli attacchi.

    L’introduzione di BRUTED ha permesso a Black Basta di automatizzare e scalare gli attacchi di accesso iniziale, rendendo ancora più difficile per le aziende difendersi.

    BRUTED: Come Funziona e Quali Sono i Suoi Obiettivi?

    BRUTED è un framework di attacco altamente avanzato che automatizza il processo di brute forcing e credential stuffing. Il suo scopo principale è quello di individuare dispositivi di rete vulnerabili e ottenere l’accesso iniziale ai sistemi aziendali.

    Le sue principali funzionalità includono:

    • Scansione automatizzata di Internet per identificare dispositivi esposti e potenzialmente vulnerabili.
    • Tentativi di accesso tramite brute force sfruttando database di credenziali rubate o deboli.
    • Adattabilità multi-vendor, con supporto specifico per diversi tipi di firewall, VPN e gateway di accesso remoto.
    • Persistenza e movimento laterale, facilitando l’accesso ai sistemi interni una volta compromesso il perimetro di sicurezza.

    Una volta ottenuto l’accesso iniziale, gli attaccanti sfruttano il framework per:

    1. Compromettere dispositivi chiave come firewall e VPN.
    2. Eseguire movimenti laterali all’interno della rete per ottenere privilegi più elevati.
    3. Distribuire il ransomware Black Basta, crittografando sistemi critici e bloccando l’operatività aziendale.

    BRUTED rappresenta quindi un passo in avanti nell’automazione degli attacchi, permettendo agli affiliati di Black Basta di operare con maggiore efficienza e su scala più ampia.

    Analisi della Mappa di Attacco: Una Visione Dettagliata

    L’immagine allegata fornisce una rappresentazione grafica estremamente dettagliata dell’infrastruttura di attacco basata su BRUTED e utilizzata da Black Basta. Analizzandola, emergono diversi livelli chiave dell’operazione:

    1. Origine dell’Attacco (Lato Sinistro)

    • Connessioni con la Russia: L’immagine suggerisce un legame con attori malevoli operanti dalla Federazione Russa.
    • Settori maggiormente colpiti: Business Services e Manufacturing risultano tra i principali obiettivi.
    • Strumenti di attacco: Oltre a BRUTED, vengono utilizzati strumenti di post-exploitation come Cobalt Strike e Brute Ratel.

    2. Host Compromessi e Tecniche di Attacco (Centro)

    • Il cluster centrale dell’immagine mostra un insieme di dispositivi esposti su Internet.
    • Ogni nodo rappresenta un host vulnerabile, probabilmente identificato tramite scansioni automatizzate.
    • Le connessioni tra i nodi indicano attacchi mirati, con utilizzo di brute force e credential stuffing su larga scala.

    3. Indicatori di Compromissione (Lato Destro)

    • L’elenco di domini e IP compromessi mostra le infrastrutture usate da Black Basta per il comando e controllo (C2).
    • I colori distinti rappresentano il livello di criticità e l’associazione con specifici attacchi.
    • IP e DNS evidenziati in rosso corrispondono a infrastrutture attualmente attive e pericolose.

    Questa analisi grafica fornisce un quadro chiaro delle tecniche di attacco e permette agli esperti di cybersecurity di identificare gli indicatori chiave di compromissione (IoC).

    Come Difendersi da BRUTED e Black Basta

    Per mitigare il rischio di compromissione da parte di BRUTED e Black Basta, le aziende devono adottare strategie di sicurezza avanzate, tra cui:

    1. Protezione degli Endpoint di Rete:
      • Bloccare l’accesso remoto non necessario.
      • Configurare firewall per limitare accessi sospetti.
    2. Gestione Sicura delle Credenziali:
      • Forzare l’uso dell’autenticazione multi-fattore (MFA).
      • Evitare il riutilizzo di password deboli.
    3. Monitoraggio Attivo degli Indicatori di Compromissione:
      • Aggiornare costantemente le blacklist di IP e domini malevoli.
      • Analizzare tentativi di accesso anomali e bloccare gli indirizzi sospetti.
    4. Patch Management:
      • Mantenere aggiornati firmware e software di firewall e VPN.
      • Applicare patch di sicurezza contro vulnerabilità note.

    L’integrazione di BRUTED nel modello di attacco di Black Basta rappresenta un’evoluzione nella criminalità informatica, aumentando la velocità e la scalabilità degli attacchi. Le aziende devono adottare misure proattive e strategie difensive solide per contrastare questa minaccia in crescita.

    Un approccio basato su zero-trust, MFA e monitoraggio attivo è fondamentale per difendersi efficacemente da queste minacce in continua evoluzione.

    Sandro Sana
    Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

    Lista degli articoli
    Visita il sito web dell'autore

    Articoli in evidenza

    James Cameron: l’IA può causare devastazione come Skynet e Terminator
    Di Redazione RHC - 10/08/2025

    “Il sistema di difesa militare Skynet entrerà in funzione il 4 agosto 1997. Comincerà ad autoistruirsi imparando a ritmo esponenziale e diverrà autocosciente alle 2:14 del giorno...

    Gli EDR vanno ancora offline! Crescono le minacce con i figli di EDRKillShifter
    Di Redazione RHC - 10/08/2025

    Un nuovo strumento per disabilitare i sistemi EDR è apparso nell’ambiente dei criminali informatici , che gli esperti di Sophos ritengono essere un’estensione dell’utility ED...

    Hai fatto doppio click su WinRAR? Congratulazioni! Sei stato compromesso
    Di Redazione RHC - 09/08/2025

    Una vulnerabilità di WinRAR recentemente chiusa monitorata con il codice CVE-2025-8088 è stata sfruttata in attacchi di phishing mirati prima del rilascio della patch. Il problema era un Dir...

    Satelliti Sotto il controllo degli Hacker: “è più semplice hackerarli che usare armi satellitari”
    Di Redazione RHC - 09/08/2025

    Alla conferenza Black Hat di Las Vegas, VisionSpace Technologies ha dimostrato che è molto più facile ed economico disattivare un satellite o modificarne la traiettoria rispetto all’u...

    HTTP/1.1 Must Die! Falle critiche mettono milioni di siti web a rischio
    Di Redazione RHC - 08/08/2025

    Una falla di sicurezza cruciale nell’HTTP/1.1 è stata resa pubblica dagli esperti di sicurezza, mettendo in luce una minaccia che continua ad impattare sull’infrastruttura web da pi...