Печата журналов чата, предположительно принадлежащих группе Black Basta Ransomware, просочилась в Интернете, обнажив ключевых членов плодовитой российской банды.
Chatlogs, которые включают в себя более 200 000 сообщений, охватывающих 18 сентября 2023 года по 28 сентября 2024 года, были разделены с компанией по разведке угроз Trewast от лидера. Фирма по кибербезопасности заявляет, что утечка возникает на фоне «внутреннего конфликта» в группе Black Basta после того, как некоторые члены якобы не смогли предоставить своим жертвам функциональные инструменты дешифрования, несмотря на оплату спроса на выкуп.
Пока не известно, был ли лидер, который использует псевдоним «эксплуат -шипер» на Telegram, членом Банды Черной Баста.
Black Basta-это плодовитая российская банда вымогателей, которую правительство сша связано с сотнями нападений на критическую инфраструктуру и глобальные предприятия, чьи общедоступные жертвы включают в себя организацию здравоохранения сша, британская коммунальная компания Southern Water и британская аутсорсинговая гигантская Capita. Утеченные журналы чата дают невиданный ранее взгляд внутрь банды Ransomware, включая некоторые из ее незарегистрированных целей.
Согласно сообщению о X от Frownav, The Leaker заявил, что хакеры «пересекли черту», нацеливаясь на российские внутренние банки.
«Таким образом, мы стремимся раскрыть истину и исследовать следующие шаги Черной Басты», — написал лидер.
Целевые жертвы, эксплойты и хакер -подросток
TechCrunch получил копию журналов чата хакеров от Thrataft, в которой содержатся подробности о ключевых членах банды Ransomware.
Эти члены включают «YY» (главный администратор Black Basta); «Лапа» (еще один из ключевых лидеров черной Басты); «Cortes» (хакер, связанный с ботнетом Qakbot); и «Трамп» (также известный как «АА» и «Г.Г.»).
Считается, что хакер «Трамп» является псевдонимом, используемым Олегом Нефедовакой, которая превзойдет исследователей как «главного босса группы». Исследователи связали Нефедоваку с ныне несуществующей группой Conti-Ransomware, которая закрылась вскоре после того, как его внутренние журналы чата просочились после банды, объявившей поддержку полномасштабного вторжения России в Украину в 2022 году.
TechCrunch увидел, что в чате просочившись в чате Black Basta также цитируют одного участника, который сказал, что им 17 лет.
По нашему подчинению, просочившиеся чаты содержат 380 уникальных ссылок, связанных с информацией о компании, размещенной на Zoominfo, брокере данных, который собирает и продает доступ к предприятиям и их сотрудникам, что Chatlogs показывают, что хакеры использовали для изучения компаний, на которых они нацелены. Ссылки также дают некоторое представление о количестве организаций, направленных на банду в течение 12-месячного периода.
Журналы чата также показывают беспрецедентную информацию о деятельности группы. Сообщения включают подробную информацию о жертвах Черной Басты, копии фишинговых шаблонов, используемых в их кибератаке, о некоторых эксплойтах, используемых бандой, адреса криптовалюты, связанные с выплатами выкуп, и подробности о требованиях выкупа и переговорах по жертвам с взломанными организациями.
Мы также нашли журналы чатов хакеров, обсуждающих статью TechCrunch о продолжающейся деятельности Qakbot, несмотря на более раннюю операцию ФБР, направленную на то, чтобы сбить печально известный ботнер.
TechCrunch также нашел журналы чата, которые назвали несколько ранее неизвестных целевых организаций. Это включает в себя неудачный американский гигантский гигант Fisker; HealthTech Provider Cerner Corp, которая в настоящее время принадлежит Oracle; и британская туристическая фирма Hotelplan. Пока неизвестно, нарушены ли компании, и ни одна из компаний не ответила на запросы TechCrunch.
Журналы чата, по -видимому, показывают усилия банды по эксплуатации ошибок в области безопасности в корпоративных сетевых устройствах, таких как маршрутизаторы и брандмауэры, которые находятся по периметру сети компании и выступают в качестве цифровых привратников.
Хакеры хвастались своей способностью использовать уязвимости в продуктах Citrix удаленного доступа, чтобы разбиться как минимум на две сети компании. Банда также рассказала об использовании уязвимостей в Ivanti, Palo Alto Networks и Fortinet Software для проведения кибератак.
Разговор между черными членами BASTA также предполагает, что некоторые из группы были обеспокоены тем, что российские власти расследовали ее в ответ на геополитическое давление. В то время как Россия долгое время была безопасным убежищем для банд вымогателей, Black Basta также обеспокоена действиями, предпринятыми правительством сша.
Сообщения, отправленные после нарушения группы систем Вознесения, предупредили, что ФБР и CISA «на 100% обязаны» принять участие и могут привести к тому, что агентства «занимают жесткую позицию в отношении черной басты».
Сайт темной веб -утечки Black Basta, который он использует для публичного вымогательства жертв, выплачивая банду спрос на выкуп, был в автономном режиме во время публикации.
