Сокровище чатов, якобы принадлежащих группе вымогателей Black Basta, утекло в сеть, раскрыв ключевых участников плодовитой группы, связанной с Россией.
Чат-логи, включающие более 200 000 сообщений, охватывающих период с 18 сентября 2023 года по 28 сентября 2024 года, были предоставлены угрозовой компанией Prodaft журналисту. Кибербезопасностnиное агентство говорит, что утечка произошла на фоне «внутреннего конфликта» в группе Black Basta после того, как некоторые участники, по предположениям, не предоставили жертвам рабочие инструменты для дешифровки, несмотря на уплату выкупа.
Пока неизвестно, был ли утечка, кто использует псевдоним «ExploitWhispers» в Telegram, участником группы Black Basta.
Black Basta - плодовитая группа русскоязычных вымогателей, с которой американское правительство связало сотни атак на критическую инфраструктуру и глобальные предприятия, известных публично, жертв которых включают американскую организацию здравоохранения Ascension, британскую утилитарную компанию Southern Water и британского гиганта по аутсорсингу Capita. Утечка чат-логов даёт возможность заглянуть внутрь группы вымогателей, включая некоторые несообщенные цели.
Согласно сообщению на X от Prodaft, журналист сказал, что хакеры «перешли черту», нападая на внутренние банки России.
«Поэтому мы посвящены раскрытию правды и исследованию следующих шагов Black Basta», - написал утечка.
Целевые жертвы, эксплойты и подростковый хакер
TechCrunch получил копию чат-логов хакеров от Prodaft, которые содержат детали о ключевых участниках группы вымогателей.
Эти участники включают «YY» (главный администратор Black Basta); «Lapa» (другой ключевой лидер Black Basta); «Cortes» (хакер, связанный с ботнетом Qakbot); и «Trump» (также известный как «AA» и «GG»).
Предполагается, что хакер «Trump» использует псевдоним Олег Нефедовака, описываемый исследователями Prodaft как «главный босс группировки». Исследователи связали Нефедовака с действовавшей ранее группой шифровальщиков Conti, которая прекратила деятельность вскоре после утечки своих внутренних чат-логов после того, как группировка выразила свою поддержку полномасштабного вторжения России в Украину в 2022 году.
Из утечки чат-логов Black Basta также следует, что один участник, как показал TechCrunch, заявляет, что ему 17 лет.
На наш подсчёт, утечка чатов содержит 380 уникальных ссылок на информацию о компаниях, размещённую на ZoomInfo, брокере данных, который собирает и продает доступ к предприятиям и их сотрудникам, который, как показывают чат-логи, хакеры использовали для изучения выберемен людей для атаки. Ссылки также дают представление о количестве организаций, нацеленных группой за 12-месячный период.
Чат-логи также показывают непревзойденные исследования в операциях группы. Сообщения включают детали о жертвах Black Basta, копии шаблонов фишинговых атак, используемых в их кибератаках, некоторые эксплойты, использованные группой, адреса криптовалют, связанные с выкупами, и детали о требованиях за выкуп и переговорах жертв с взломанными организациями.
Мы также обнаружили чат-логи хакеров, обсуждающих статью TechCrunch об активности Qakbot, несмотря на ранее проведенную операцию ФБР с целью отключения известного ботнета.
TechCrunch также обнаружил чат-логи, в которых названы несколько ранее неизвестных организаций-целей. Сюда входят неудавшийся американский автомобильный гигант Fisker; поставщик технологий для здравоохранения Cerner Corp., который теперь принадлежит Oracle; и британская туристическая фирма Hotelplan. Пока неизвестно, были ли организации нарушены, и ни одна из них не ответила на запросы TechCrunch.
Чат-логи кажущиеся, показывают усилия группы в эксплуатации уязвимостей в устройствах корпоративных сетей, таких как маршрутизаторы и брандмауэры, которые стоят на периметре сети компании и действуют, как цифровые охранники. Хакеры хвастали своей способностью эксплуатировать уязвимости в продуктах удаленного доступа Citrix, чтобы взломать как минимум две сети компаний. Группировка также говорила об эксплуатации уязвимостей в программном обеспечении Ivanti, Palo Alto Networks и Fortinet для проведения кибератак.
Разговор между участниками Black Basta также предполагает, что часть группы беспокоится о том, что их расследуют российские власти в ответ на геополитическое давление. Хотя Россия давно является убежищем для групп вымогателей, Black Basta также беспокоится о действиях, предпринимаемых правительством США.
Сообщения, отправленные после вторжения группы в системы Ascension, предупреждают, что ФБР и CISA «на 100% обязаны» вмешаться и могут привести к тому, что эти агентства «примут жесткую позицию по отношению к Black Basta».
Сайт утечки Black Basta в даркнете, который он использует для публичного вымогательства жертв в уплате выкупа, был недоступен на момент публикации.
