近日,一個(gè)名為 ExploitWhispers 的匿名者泄露了 Black Basta 勒索軟件團(tuán)伙的 Matrix 聊天記錄,揭示了該團(tuán)伙的內(nèi)部分裂情況以及成員信息、黑客工具。該聊天記錄一開(kāi)始被上傳至 MEGA 平臺(tái),隨后又被轉(zhuǎn)至 Telegram。
內(nèi)部分裂:Black Basta 聊天記錄泄露揭示成員信息與黑客工具
2025 年 2 月 11 日,一次重大泄露事件曝光了 Black Basta 的內(nèi)部 Matrix 聊天記錄。泄露者聲稱(chēng),他們之所以發(fā)布這些數(shù)據(jù),是因?yàn)樵搱F(tuán)伙正在瞄準(zhǔn)俄羅斯銀行。這一泄露與之前的 Conti 泄露事件極為相似。
泄露的檔案涵蓋了 2023 年 9 月 18 日至 2024 年 9 月 28 日期間的內(nèi)部聊天記錄。PRODAFT 研究員報(bào)告指出,自 2025 年起,由于內(nèi)部沖突、勒索詐騙以及勒索軟件失效,Black Basta 已經(jīng)基本處于停擺狀態(tài)。關(guān)鍵成員相繼跳槽至其他團(tuán)伙。
今年年初,關(guān)鍵成員紛紛離開(kāi) Black Basta ,加入了 Cactus勒索軟件或其他網(wǎng)絡(luò)犯罪團(tuán)伙。內(nèi)部沖突由“Tramp”(LARVA-18)引發(fā),這位知名的威脅行為者運(yùn)營(yíng)著一個(gè)負(fù)責(zé)分發(fā) QBOT 的垃圾郵件網(wǎng)絡(luò)。作為Black Basta 中的關(guān)鍵人物,他的行動(dòng)在很大程度上導(dǎo)致了該團(tuán)伙的不穩(wěn)定。
運(yùn)營(yíng)內(nèi)幕與黑客工具
泄露的 Black Basta 聊天記錄揭示了該團(tuán)伙的運(yùn)營(yíng)模式、策略及所使用的工具。研究人員發(fā)現(xiàn),他們優(yōu)先利用 VPN 漏洞,并維護(hù)著一份共享的受害者名單。其中一名成員被確認(rèn)為是個(gè)年僅 17 歲的少年。聊天記錄表明,該團(tuán)伙的工作環(huán)境充滿(mǎn)了高壓。
VX-underground 的研究人員分析了泄露的 Black Basta 聊天記錄,并報(bào)告稱(chēng)這些記錄揭示了他們的運(yùn)營(yíng)細(xì)節(jié),包括對(duì) LockBit 的懷疑、對(duì) Dispossessor 勒索軟件招聘的擔(dān)憂(yōu),以及對(duì) VPN 漏洞的興趣。他們利用社交工程技術(shù),優(yōu)先針對(duì)電氣和金融等行業(yè)的公司。
該團(tuán)伙的工作流程包括誘騙受害者執(zhí)行惡意文件,這些文件會(huì)連接到命令控制(C2)服務(wù)器,從而實(shí)現(xiàn)勒索軟件的部署或遠(yuǎn)程訪(fǎng)問(wèn)。他們還被提供了一種月租 8.4 萬(wàn)美元的私有加載器。
泄露的 Black Basta 聊天記錄顯示,成員們語(yǔ)氣直接且嚴(yán)厲,經(jīng)常嘲笑失敗并強(qiáng)調(diào)截止日期。他們的工作流程依賴(lài)于社交工程技術(shù),通過(guò)投遞惡意 HTA 文件連接到服務(wù)器以部署有效載荷。受害者通常有 10 到 12 天的時(shí)間支付贖金,否則被盜數(shù)據(jù)將被公開(kāi)。
研究員 Suyesh Prabhugaonkar 識(shí)別出了該團(tuán)伙使用的 367 個(gè)獨(dú)特的 Zoom 鏈接、域名與 IP 地址。該團(tuán)伙通過(guò)弱口令、未修復(fù)的漏洞以及社會(huì)工程手段獲得初始訪(fǎng)問(wèn)權(quán)限。他們會(huì)輪換基礎(chǔ)設(shè)施以避免被發(fā)現(xiàn),并測(cè)試有效載荷。據(jù) Prodaft 透露,關(guān)鍵人物 GG(Trump)很可能是領(lǐng)導(dǎo)者 Oleg Nefedov,他負(fù)責(zé)分配任務(wù)、跟蹤績(jī)效并施加截止日期壓力。
勒索攻擊頻發(fā)與受害者分布
Black Basta 是一款勒索軟件即服務(wù)(RaaS),自 2022 年 4 月起開(kāi)始活躍,曾影響過(guò)多個(gè)北美、歐洲與澳大利亞的企業(yè)和關(guān)鍵基礎(chǔ)設(shè)施實(shí)體。截至 2024 年 5 月,Black Basta 已影響全球超過(guò) 500 家組織。
作為 StopRansomware 計(jì)劃的一部分,2024 年 5 月,美國(guó)聯(lián)邦調(diào)查局(FBI)、網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)、衛(wèi)生與公眾服務(wù)部(HHS)與多州信息共享與分析中心(MS-ISAC)聯(lián)合發(fā)布了一份關(guān)于 Black Basta 勒索軟件活動(dòng)的網(wǎng)絡(luò)安全建議(CSA)。
Black Basta 至少針對(duì)了 12 個(gè)關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域,包括醫(yī)療保健與公共衛(wèi)生領(lǐng)域。該建議文件中提供了從執(zhí)法機(jī)構(gòu)調(diào)查與第三方安全公司的報(bào)告中獲得的戰(zhàn)術(shù)、技術(shù)與程序(TTPs)以及入侵指標(biāo)(IOCs)。
2023 年 12 月,Elliptic 與 Corvus Insurance 發(fā)布的聯(lián)合研究表明,該團(tuán)伙自 2022 年初以來(lái)累計(jì)獲得了至少價(jià)值1700 萬(wàn)美元的比特幣贖金,并通過(guò)俄羅斯加密貨幣交易所 Garantex 進(jìn)行洗錢(qián)。研究人員分析了區(qū)塊鏈交易,發(fā)現(xiàn) Black Basta 與 Conti 團(tuán)伙之間存在明確的關(guān)聯(lián)。2022 年,Conti 團(tuán)伙停止了其運(yùn)營(yíng),與此同時(shí),Black Basta 團(tuán)伙在威脅領(lǐng)域嶄露頭角。
據(jù)專(zhuān)家介紹,該勒索軟件團(tuán)伙已經(jīng)感染了 329 多名受害者,大多數(shù)受害者來(lái)自制造業(yè)、工程與建筑業(yè)以及零售業(yè),包括 ABB、Capita、Dish Network 和萊茵金屬。61.9%的受害者位于美國(guó),15.8%位于德國(guó),5.9%位于加拿大。部分受害者的贖金被 Conti 和 Black Basta 團(tuán)伙同時(shí)轉(zhuǎn)給了 Qakbot 惡意軟件的幕后團(tuán)伙。
