De onlangs gelekte trove van interne chatlogboeken onder leden van de Black Basta Ransomware-operatie heeft mogelijke verbindingen onthuld tussen de E-misdaadbende en de Russische autoriteiten.
Het lek, met meer dan 200.000 berichten van september 2023 tot september 2024, werd vorige maand gepubliceerd door een telegramgebruiker @exploitwhispers.
Volgens een analyse van de berichten van Cybersecurity Company Trellix, heeft Black Basta’s vermeende leider Oleg Nefedov (AKA GG of AA) mogelijk hulp ontvangen van Russische functionarissen na zijn arrestatie in Yerevan, Armenië, in juni 2024, waardoor hij drie dagen later kan ontsnappen.
In de berichten beweerde GG dat hij contact opnam met hooggeplaatste ambtenaren om door een “groene gang” te gaan en de extractie te vergemakkelijken.
“Deze kennis van Chat -lekken maakt het voor de Black Basta -bende moeilijk om de manier waarop ze opereren volledig te verlaten en een nieuwe RAAS helemaal opnieuw te beginnen zonder een verwijzing naar hun eerdere activiteiten,” zeiden Trellix -onderzoekers Jambul Tologonov en John Fokker.
Onder andere opmerkelijke bevindingen zijn onder meer –
- De groep heeft waarschijnlijk twee kantoren in Moskou
- De groep maakt gebruik van OpenAI Chatgpt voor het samenstellen van frauduleuze formele letters in het Engels, parafraserende tekst, het herschrijven van C#-gebaseerde malware in python, foutopsporingscode en het verzamelen van slachtoffersgegevens
- Sommige leden van de groep overlappen elkaar met andere ransomware -bewerkingen zoals Rhysida en Cactus
- De ontwikkelaar van Pikabot is een Oekraïense National die door de online alias Mecor (aka N3auxaxl) gaat en dat het Black Basta een jaar kostte om de verstoring van de malware -lader te ontwikkelen na Qakbot
- De groep huurde Darkgate van Rastafareye en gebruikte Lumma Stealer om referenties te stelen, evenals extra malware
- De groep ontwikkelde een post-exploitatie Command-and-Control (C2) framework genaamd Breaker om persistentie vast te stellen, detectie te ontwijken en toegang te behouden via netwerksystemen
- GG werkte met Mecor aan nieuwe ransomware die is afgeleid van Conti’s broncode, wat leidde tot de release van een prototype geschreven in C, wat een mogelijke rebranding -inspanning aangeeft
De ontwikkeling komt omdat Eclecticiq het werk van Black Basta aan het werk onthulde aan een bruut-forcing-raamwerk dat Butut is ontworpen dat is ontworpen om geautomatiseerde internetscanning en referentievulling uit te voeren tegen edge-netwerkapparaten, waaronder veelgebruikte firewalls en VPN-oplossingen in bedrijfsnetwerken.
Er zijn aanwijzingen dat de cybercriminaliteitsbemanning sinds 2023 het PHP-gebaseerde platform gebruikt om grootschalige referentie- en brute-force-aanvallen op doelapparaten uit te voeren, waardoor de dreigingsacteurs zichtbaarheid kunnen krijgen in slachtoffernetwerken.
“Bruted Framework stelt Black Basta -filialen in staat om deze aanvallen te automatiseren en te schalen, hun slachtoffer uit te breiden en het inkomend onderzoek te versnellen om ransomware -activiteiten te stimuleren,” zei beveiligingsonderzoeker Arda Büyükkaya.
“Interne communicatie blijkt dat Black Basta zwaar heeft geïnvesteerd in het Bruted Framework, waardoor snelle internetscans voor edge-netwerkapparatuur en grootschalige referentiebevoedingen mogelijk zijn om zwakke wachtwoorden te richten.”
