Meer dan een jaar aan interne chatlogboeken van een ransomware -bende die bekend staat als Black Basta zijn online gepubliceerd in een lek dat ongekende zichtbaarheid biedt in hun tactiek en interne conflicten tussen haar leden.
De Russisch-taal chats op het Matrix Messaging-platform tussen 18 september 2023 en 28 september 2024 werden aanvankelijk gelekt op 11 februari 2025, door een persoon die de handgreep exploitwhispers doorgaat, die beweerden dat ze de gegevens hebben vrijgegeven omdat de gegevens omdat het Group richtte zich op Russische banken. De identiteit van de leaker blijft een mysterie.
Black Basta kwam voor het eerst in de schijnwerpers in april 2022, met behulp van de nu largely-beperkte Qakbot (aka QBOT) als bezorgvoertuig. Volgens een advies dat door de Amerikaanse regering in mei 2024 is gepubliceerd, wordt naar schatting de dubbele afpersingsploeg gericht op meer dan 500 particuliere industrie en kritieke infrastructuurentiteiten in Noord -Amerika, Europa en Australië.
Per elliptische en Corvus -verzekering, wordt naar schatting de productieve ransomware -groep ten minste $ 107 miljoen aan bitcoin -losgeldbetalingen van meer dan 90 slachtoffers opgeleverd tegen het einde van 2023.
Zwitserse cybersecurity Company PRODAFT zei dat de financieel gemotiveerde dreigingsacteur, ook gevolgd als wraakzuchtige Mantis, “meestal inactief is sinds het begin van het jaar” vanwege de interne strijd, waarbij sommige van haar operators slachtoffers oplichten door losgeld te verzamelen zonder een werkende decryptor te verstrekken .
Bovendien zouden belangrijke leden van het Rusland-gekoppelde cybercrime-syndicaat naar de cactus zijn gesprongen (aka koesteren met mantis) en Akira ransomware-operaties.
“Het interne conflict werd aangedreven door ‘zwerver’ (larve-18), een bekende dreigingsacteur die een spamnetwerk exploiteert dat verantwoordelijk is voor het distribueren van QBOT,” zei PRODAFT in een post op X. “Als sleutelfiguur binnen Blackbasta, speelden zijn acties. Een belangrijke rol in de instabiliteit van de groep. “
Sommige van de opvallende aspecten van het lek, dat bijna 200.000 berichten bevat, worden hieronder vermeld –
- LAPA is een van de belangrijkste beheerders van Black Basta en betrokken bij administratieve taken
- Cortes wordt geassocieerd met de Qakbot -groep, die heeft geprobeerd afstand te nemen in de nasleep van de aanvallen van Black Basta op Russische banken
- YY is een andere beheerder van Black Basta die betrokken is bij ondersteuningstaken
- Trump is een van de aliassen voor “de belangrijkste baas van de groep” Oleg Nefedov, die de namen GG en AA uitvoert
- Trump en een ander individu, Bio, werkten samen in het nu doorboren continransomware-schema
- Een van de Black Basta -filialen wordt beschouwd als een minderjarige leeftijd 17 jaar
- Black Basta is begonnen om sociale engineering actief in hun aanvallen op te nemen na het succes van verspreide spin
Volgens Qualys maakt de Black Basta -groep gebruik van bekende kwetsbaarheden, verkeerde configuraties en onvoldoende beveiligingscontroles om initiële toegang tot doelnetwerken te verkrijgen. Uit de discussies blijkt dat SMB-misfiguraties, blootgestelde RDP-servers en zwakke authenticatiemechanismen routinematig worden gebruikt, vaak afhankelijk van standaard VPN-inloggegevens of brute-forcing gestolen referenties.
Een andere belangrijke aanvalsvector omvat de implementatie van malware -druppels om de kwaadaardige ladingen te leveren. In een verdere poging om detectie te ontwijken, is de e-crime-groep gevonden om legitieme platforms voor het delen van bestanden te gebruiken zoals Transfer.sh, Temp.sh en Send.vis.ee voor het hosten van de payloads.
“Ransomware -groepen nemen niet langer hun tijd meer zodra ze het netwerk van een organisatie overtreden,” zei Saeed Abbasi, manager van Product bij Qualys Threat Research Unit (TRU). “Onlangs gelekte gegevens uit Black Basta laten zien dat ze binnen enkele uren van initiële toegang naar netwerkbrede compromis gaan-soms zelfs minuten.”
De openbaarmaking komt wanneer het Cyberint-onderzoeksteam van Check Point heeft aangetoond dat de CL0P-ransomware-groep targeting-organisaties heeft hervat en organisaties opsomt die zijn overtreden op zijn gegevensleksite na de exploitatie van een recent bekendgemaakte beveiligingsfout (CVE-2024-50623) die van invloed zijn op de CLEO Managed Bestandsoverdrachtsoftware.
“CL0P neemt rechtstreeks contact op met deze bedrijven en biedt veilige chatlinks voor onderhandelingen en e -mailadressen voor slachtoffers om contact te beginnen,” zei het bedrijf in een update die vorige week is gepost. “De groep waarschuwde dat als de bedrijven ze blijven negeren, hun volledige namen binnen 48 uur worden bekendgemaakt.”
De ontwikkeling volgt ook op een advies dat is vrijgegeven door de US Cybersecurity and Infrastructure Security Agency (CISA) over een golf van data -exfiltratie en ransomware -aanvallen georkestreerd door de Ghost -actoren die zich richten op organisaties in meer dan 70 landen, inclusief die in China.
De groep is waargenomen om zijn ransomware -uitvoerbare payloads te roteren, bestandsuitbreidingen te schakelen voor gecodeerde bestanden en het wijzigen van Ransom Note -tekst, leidend de groep die wordt genoemd door andere namen zoals Cring, Crypt3R, Phantom, Strike, Hello, Wickrme, Hsharada en Rapture.
“Begin 2021 begonnen Ghost -acteurs slachtoffers aan te vallen wiens internet geconfronteerde diensten verouderde versies van software en firmware hadden,” zei het bureau. “Ghost-actoren, gevestigd in China, voeren deze wijdverbreide aanvallen uit voor financieel gewin. Getroffen slachtoffers omvatten kritieke infrastructuur, scholen en universiteiten, gezondheidszorg, overheidsnetwerken, religieuze instellingen, technologie- en productiebedrijven en tal van kleine en middelgrote bedrijven.”
Het is bekend dat Ghost openbaar beschikbare code gebruikt om internetgerichte systemen te benutten door verschillende kwetsbaarheden in Adobe Coldfusion (CVE-2009-3960, CVE-2010-2861), Fortinet Fortios-apparaten (CVE-2018-13379) en Microsoft Exchange Server te gebruiken in gebruik (CVE-2021-34473, CVE-2021-34523, en CVE-2021-31207, aka Proxyshell).
Een succesvolle exploitatie wordt gevolgd door de implementatie van een webshell, die vervolgens wordt gebruikt om het Cobalt Strike Framework te downloaden en uit te voeren. De dreigingsacteurs zijn ook waargenomen met behulp van een breed scala aan tools zoals Mimikatz en Badpotato voor respectievelijk het oogsten van de referentieverlening en privilege -escalatie.
“Ghost-actoren gebruikten verhoogde Access- en Windows Management Instrumentation Command-Line (WMIC) om PowerShell-commando’s uit te voeren op extra systemen op het slachtoffernetwerk-vaak om extra kobaltstakingsbakeninfecties te initiëren,” zei CISA. “In gevallen waarin laterale bewegingspogingen niet succesvol zijn, zijn Ghost -acteurs waargenomen die een aanval op een slachtoffer verlaten.”
