Colpo alla criminalità cyber: arresti in Ucraina contro Black Basta
Le autorità ucraine e tedesche hanno inferto un duro colpo al gruppo ransomware Black Basta, identificando e arrestando due cittadini ucraini sospettati di farne parte. Questa operazione dimostra l’impegno internazionale contro la cybercriminalità, con sequestri di dispositivi digitali e asset in criptovalute che potrebbero smantellare parte della rete criminale. Per le aziende e gli utenti, il consiglio immediato è rafforzare le difese con password complesse, autenticazione a due fattori e backup regolari per prevenire simili attacchi.
Contesto dell’operazione
L’operazione, condotta in collaborazione tra la polizia ucraina e quella tedesca, ha portato a perquisizioni nelle città di Ivano-Frankivsk e Leopoli. Durante queste azioni, sono stati confiscati computer, telefoni cellulari, note manoscritte e fondi in criptovalute. I sospettati erano specializzati in tecniche avanzate di intrusione, agendo come veri e propri esperti nel decifrare protezioni digitali per aprire la porta a ransomware devastanti.
Black Basta, emerso nel panorama delle minacce informatiche nel 2022, è un gruppo ransomware-as-a-service (RaaS) legato alla Russia. Ha colpito centinaia di organizzazioni in Nord America, Europa e Australia, causando danni per centinaia di milioni di euro. Tra le vittime figurano ospedali, istituzioni pubbliche e autorità governative, con interruzioni prolungate delle operazioni e richieste di riscatti elevati.
Ruoli e metodi dei criminali
I due ucraini arrestati ricoprivano ruoli cruciali nella catena di attacco. Utilizzavano software specializzati per estrarre password da database protetti, una pratica nota come hash cracking. Una volta ottenute le credenziali, si infiltravano nelle reti aziendali, espandevano i privilegi degli account compromessi, rubavano dati sensibili e deployavano il ransomware per cifrare i file. Le vittime dovevano pagare ingenti somme in criptovalute per riottenere l’accesso ai propri dati.
Questa modalità di attacco è tipica dei gruppi RaaS, dove i membri si dividono i compiti: alcuni si occupano di reconnaissance e accesso iniziale, altri di crittografia e negoziazione dei riscatti. Black Basta ha dimostrato una sofisticazione elevata, sfruttando vulnerabilità note e credenziali rubate da mercati neri online.
Il leader ricercato: Oleg Evgenievich Nefedov
Al centro delle indagini c’è Oleg Evgenievich Nefedov, un russo di 35 anni considerato il fondatore e leader del gruppo. Le autorità tedesche lo accusano di aver formato un’organizzazione criminale all’estero, orchestrato estorsioni su larga scala e coordinato attacchi cyber. Nefedov operava sotto vari alias online come kurva, Washingt0n e S.Jimmi, reclutando membri, selezionando target e gestendo i proventi in criptovalute.
Inserito nella lista dei più ricercati dell’Unione Europea e con una Red Notice di Interpol, Nefedov è creduto rifugiarsi in Russia. Analisi blockchain hanno rivelato legami con il gruppo Conti, un altro ransomware attivo dal 2020 (evoluzione di Ryuk), sciolto ma con una taglia di 10 milioni di dollari dal Dipartimento di Stato USA sui suoi capi. Nonostante un arresto in Armenia nel 2024, Nefedov è stato rilasciato, evidenziando le difficoltà nel perseguire criminali protetti da giurisdizioni ostili.
Contesto più ampio della cybercriminalità in Ucraina
L’Ucraina si trova spesso al centro di operazioni contro il ransomware. Recentemente, Europol e Interpol hanno arrestato a Kiev due operatori di ransomware in un’operazione internazionale. Un altro ucraino, Artem Stryzhak di 35 anni, è stato estradato negli USA dopo un arresto a Barcellona per frodi con malware come Nefilim. Anche la Russia ha condannato membri di REvil per hacking e riciclaggio, un caso raro che indica pressioni internazionali.
Nel 2025, chat interne di Black Basta sono trapelate online, rivelando la struttura del gruppo, membri chiave e vulnerabilità sfruttate. Questo ha portato a un’apparente inattività dal febbraio 2025, con siti per la diffusione di dati rubati bloccati. Tuttavia, esperti avvertono che i cybercriminali tendono a riorganizzarsi in nuovi gruppi.
Impatto globale e lezioni apprese
Gli attacchi di Black Basta hanno causato oltre 100 aziende in Germania e 700 nel mondo a subire disruption, con danni superiori a 20 milioni di euro solo in Germania. Le infrastrutture critiche continuano a essere nel mirino, sottolineando l’urgenza di una cybersecurity proattiva.
Per le imprese, è essenziale adottare framework come Zero Trust, monitorare il dark web per credenziali esposte e condurre audit regolari. Individui e organizzazioni dovrebbero investire in formazione per riconoscere phishing e social engineering, prime vie d’ingresso per questi attacchi.
Approfondimento tecnico: analisi delle tattiche di Black Basta
Hash cracking e accesso iniziale
I hash cracker impiegano tool come Hashcat o John the Ripper su GPU potenti per brute-force o dictionary attack su hash di password (es. NTLM, bcrypt). Estraggono credenziali da dump di database, spesso ottenuti via SQL injection o infostealer come RedLine. Esempio di workflow:
- Raccolta credenziali: Monitoraggio di Telegram channels per log di infostealer.
- Cracking: ( t = \frac{N}{R} ), dove ( t ) è tempo, ( N ) spazio di ricerca, ( R ) rate di hashing (es. 100 GH/s su RTX 4090 per MD5).
- Validazione: Test su servizi legittimi per confermare accessi.
Post-sfruttamento e deployment ransomware
Una volta dentro, usano tool come Cobalt Strike per beacon persistenti, enumeration directory (es. BloodHound per AD) e privilege escalation (es. PrintNightmare, PetitPotam). Il ransomware Black Basta cifra con ChaCha20 + RSA-4096, appendendo .basta ai file e lasciando note di riscatto.
Analisi chat trapelate mostrano exploit di CVE-2024-XXXX su VPN e RDP esposte. Blockchain tracking rivela wallet collegati a mixer come Tornado Cash per offuscamento.
Mitigazioni avanzate
- EDR/XDR: Deploy di tool come CrowdStrike o Microsoft Defender per rilevamento comportamentale.
- Passwordless: Passkey FIDO2 o certificate-based auth.
- Network segmentation: Microsegmentazione con SDN.
- Threat hunting: Query Sigma rules per hash cracking (es. processi GPU-intensive su worker non autorizzati).
| Tecnica | Tool comuni | Contromisure |
|---|---|---|
| Hash cracking | Hashcat, John | Argon2id, peppering |
| Lateral movement | PsExec, WMI | AppLocker, LAPS |
| Ransomware | Black Basta binary | Immutable backups, EDR |
Esperti prevedono evoluzione verso AI-driven attacks, con cracking automatizzato e targetting personalizzato. Monitorare IOC da fonti come MITRE ATT&CK (T1110.002 per Brute Force).
Fonte: https://www.redhotcyber.com/post/arrestati-membri-di-una-gang-ransomware-in-ucraina/
