Au fost dezvăluite aproximativ 200.000 de mesaje private în rândul membrilor grupului de hacking
Tl; dr: Comunitatea cibersecurității tocmai a obținut o perspectivă fără precedent asupra operațiunilor unuia dintre cele mai active grupuri de ransomware din lume. Pe măsură ce cercetătorii se ocupă de bogăția de informații pe care le oferă această scurgere, este probabil ca noile dezvăluiri despre tactica, țintele și dinamica internă a Black Basta Basta.
Într -o încălcare fără precedent, peste un an de comunicații interne de la notorul ransomware sindicate Black Basta s -au scurs online, expunând lucrările interioare, strategiile și conflictele interne ale unuia dintre cele mai active și periculoase grupuri cibernetice de astăzi.
Scurgerea este formată din peste 200.000 de mesaje schimbate de membrii Black Basta pe platforma de chat Matrix între septembrie 2023 și septembrie 2024. Sursa scurgerii rămâne necunoscută – a fost postată de un utilizator numit „ExploitWhispers” pe Mega și mai târziu pe Telegram – dar Individul responsabil susține că acțiunile au fost luate în represalii pentru atacurile Black Basta asupra băncilor rusești. Nu este clar dacă Leaker este un privilegiat sau un actor extern care a reușit să aibă acces la aceste comunicații confidențiale.
Chaturile interne ale lui Blackbasta tocmai s -au expus, dovedind încă o dată că ciberneticii sunt cei mai răi dușmani. Continuați să ne ardem sursele de informații, nu ne deranjează. 😉 pic.twitter.com/6SO7DL7XXN
– Prodaft (@Prodaft) 20 februarie 2025
Reputația lui Black Basta ca o amenințare formidabilă pentru cibersecuritatea globală este bine stabilită. În 2023, Agenția de securitate FBI și cibersecuritate și infrastructură a raportat că grupul a vizat 12 din 16 sectoare de infrastructură critică din Statele Unite, cu atacuri asupra a 500 de organizații din întreaga lume. Victimele lor cu profil înalt includ Ascension, un important furnizor de servicii medicale din SUA, Hyundai Europe, firma de externalizare din Marea Britanie Capita, agenția vamală a guvernului chilian și sudul Water, o companie de utilități din Marea Britanie.
Comunicările scurse dezvăluie tensiuni interne semnificative în cadrul grupului, în special în urma arestării unuia dintre liderii săi. Acest eveniment a crescut temerile în rândul membrilor cu privire la expunerea potențială la aplicarea legii. Actualul lider, despre care se crede că este Oleg Nefedov, a luat foc de la subordonații săi pentru deciziile care au pus grupul cu un risc mai mare, inclusiv vizarea unei bănci rusești.
Cercetătorii care analizează textele în limba rusă au descoperit detalii despre alți membri cheie ai Basta Black, inclusiv doi administratori cunoscuți sub numele de LAPA și YY, și un actor de amenințare pe nume Cortes, care are legături cu grupul de ransomware Qakbot.
Jurnalele de chat Blackbasta scurse conțin mesaje cuprinse între 18 septembrie 2023, până la 28 septembrie 2024. Hai să analizăm declarațiile dezvăluite de Leaker:
– LAPA este unul dintre administratorii cheie ai Blackbasta și este constant ocupat cu sarcini administrative. Ținând acest lucru … https://t.co/kxqvkzbp75 pic.twitter.com/bibwu5p9e8– 3xp0RT (@3XP0RTBLOG) 20 februarie 2025
Comunicările scurse confirmă, de asemenea, ceea ce mulți cercetători de cibersecuritate au descoperit sau au teoretizat despre grup. De obicei, inițiază atacuri prin e-mailuri de phishing care conțin link-uri rău intenționate, adesea folosind fișiere ZIP protejate cu parolă care, atunci când sunt deschise, instalează Troianul Qakbot Banking. Acest troian stabilește un backdoor și implementează SystemBC pentru a crea o conexiune criptată la un server de comandă și control.
Odată intrat în rețea, Black Basta folosește cobalt greva pentru recunoaștere și pentru a implementa instrumente suplimentare în rețeaua compromisă. De asemenea, grupul folosește un software legitim de acces la distanță pentru a menține persistența, dezactivând în același timp sistemele de detectare antivirus și punct final. Pentru furtul de date și exfiltrarea, acestea se bazează pe instrumente precum Mimikatz și RClone.
Faza de implementare ransomware implică criptarea fișierelor cu extensia „.basta” ca parte a unei strategii de extorsiune dublă. Interesant este că Black Basta nu prezintă imediat cerințele de răscumpărare, oferind în schimb victimelor o fereastră de 10-12 zile pentru a face contact înainte de a scurge datele furate. Grupul a adoptat, de asemenea, tehnici de inginerie socială, inclusiv efectuarea de apeluri telefonice pentru a stabili contactul inițial cu personalul companiei, similar cu metodele utilizate de alte grupuri cibernetice, cum ar fi păianjenul împrăștiat.
Procesul de selecție a țintei Black Basta este metodic, menținând o foaie de calcul a potențialelor victime, mai degrabă decât alegerea țintelor la întâmplare. Aceștia folosesc platforme de informații de afaceri precum Zoominfo pentru a cerceta și selecta țintele lor, demonstrând o abordare calculată a operațiunilor lor.
Profitând de acest tezaur de informații, firma de securitate Hudson Rock a introdus transcrierile de chat în chatgpt. Rezultatul este Blackbastagpt, o nouă resursă pentru a ajuta cercetătorii în analiza mai eficient operațiunile Black Basta.
