Negli ultimi mesi, ex membri affiliati all’operazione ransomware Black Basta sono stati osservati nel riproporre schemi consolidati di attacco informatico, combinando tecniche di phishing tramite Microsoft Teams ed email bombing per ottenere accesso persistente alle reti aziendali. Una novità emersa nei recenti incidenti riguarda l’impiego di script Python, scaricati e lanciati tramite richieste cURL, per distribuire payload malevoli sulle infrastrutture colpite. Queste strategie evidenziano la costante evoluzione delle tattiche impiegate dai gruppi criminali anche dopo il declino della notorietà del brand Black Basta, compromesso dalla pubblicazione dei log interni della banda.

Secondo recenti analisi

Circa metà degli attacchi di phishing su Teams riscontrati tra febbraio e maggio 2025 sono partiti da domini onmicrosoft.com, mentre il 42% ha sfruttato domini già compromessi, permettendo ai cybercriminali di camuffarsi come traffico legittimo. Settori come finanza, assicurazioni e costruzioni sono stati particolarmente bersagliati da campagne in cui l’aggressore si finge personale di help desk per ingannare le vittime.

Chiusura del sito e nuove strategie

La chiusura del sito di data leak di Black Basta non ha fermato l’adozione delle sue tecniche: molte prove suggeriscono che ex affiliati si siano uniti a nuovi gruppi ransomware-as-a-service (RaaS), in particolare CACTUS, anche se questa formazione sembra aver ridotto la visibilità pubblica delle sue attività dopo marzo 2025. Un’altra ipotesi è il passaggio verso BlackLock, legato a sua volta al cartello DragonForce, segnalando un movimento costante e fluido tra le principali organizzazioni criminali attive nel ransomware.

Automazione e nuovi linguaggi di scripting

Gli attaccanti sfruttano l’accesso ottenuto tramite Teams phishing per avviare sessioni desktop remote, spesso utilizzando Quick Assist o AnyDesk, e scaricare script Python che stabiliscono comunicazioni di comando e controllo (C2). Questa evoluzione mostra una tendenza crescente verso l’automazione degli attacchi e l’uso di linguaggi di scripting flessibili, che potrebbero diventare ancora più diffusi nei futuri attacchi basati su Teams.

Nuove minacce e strumenti

Le tecniche social Black Basta sono state adottate anche dal gruppo BlackSuit, che utilizza varianti di RAT Java per il furto credenziali, ora potenziate dall’abuso di servizi cloud come Google Drive e OneDrive per il proxy dei comandi. Le minacce si arricchiscono inoltre di nuovi moduli come QDoor, loader Rust per SSH e RAT Python come Anubis, confermando un panorama ransomware in rapido mutamento e sempre più sofisticato.