近日,一个名为 ExploitWhispers 的匿名者泄露了 Black Basta 勒索软件团伙的 Matrix 聊天记录,揭示了该团伙的内部分裂情况以及成员信息、黑客工具。该聊天记录一开始被上传至 MEGA 平台,随后又被转至 Telegram。
内部分裂:Black Basta 聊天记录泄露揭示成员信息与黑客工具
2025 年 2 月 11 日,一次重大泄露事件曝光了 Black Basta 的内部 Matrix 聊天记录。泄露者声称,他们之所以发布这些数据,是因为该团伙正在瞄准俄罗斯银行。这一泄露与之前的 Conti 泄露事件极为相似。
泄露的档案涵盖了 2023 年 9 月 18 日至 2024 年 9 月 28 日期间的内部聊天记录。PRODAFT 研究员报告指出,自 2025 年起,由于内部冲突、勒索诈骗以及勒索软件失效,Black Basta 已经基本处于停摆状态。关键成员相继跳槽至其他团伙。
今年年初,关键成员纷纷离开 Black Basta ,加入了 Cactus勒索软件或其他网络犯罪团伙。内部冲突由“Tramp”(LARVA-18)引发,这位知名的威胁行为者运营着一个负责分发 QBOT 的垃圾邮件网络。作为Black Basta 中的关键人物,他的行动在很大程度上导致了该团伙的不稳定。
运营内幕与黑客工具
泄露的 Black Basta 聊天记录揭示了该团伙的运营模式、策略及所使用的工具。研究人员发现,他们优先利用 VPN 漏洞,并维护着一份共享的受害者名单。其中一名成员被确认为是个年仅 17 岁的少年。聊天记录表明,该团伙的工作环境充满了高压。
VX-underground 的研究人员分析了泄露的 Black Basta 聊天记录,并报告称这些记录揭示了他们的运营细节,包括对 LockBit 的怀疑、对 Dispossessor 勒索软件招聘的担忧,以及对 VPN 漏洞的兴趣。他们利用社交工程技术,优先针对电气和金融等行业的公司。
该团伙的工作流程包括诱骗受害者执行恶意文件,这些文件会连接到命令控制(C2)服务器,从而实现勒索软件的部署或远程访问。他们还被提供了一种月租 8.4 万美元的私有加载器。
泄露的 Black Basta 聊天记录显示,成员们语气直接且严厉,经常嘲笑失败并强调截止日期。他们的工作流程依赖于社交工程技术,通过投递恶意 HTA 文件连接到服务器以部署有效载荷。受害者通常有 10 到 12 天的时间支付赎金,否则被盗数据将被公开。
研究员 Suyesh Prabhugaonkar 识别出了该团伙使用的 367 个独特的 Zoom 链接、域名与 IP 地址。该团伙通过弱口令、未修复的漏洞以及社会工程手段获得初始访问权限。他们会轮换基础设施以避免被发现,并测试有效载荷。据 Prodaft 透露,关键人物 GG(Trump)很可能是领导者 Oleg Nefedov,他负责分配任务、跟踪绩效并施加截止日期压力。
勒索攻击频发与受害者分布
Black Basta 是一款勒索软件即服务(RaaS),自 2022 年 4 月起开始活跃,曾影响过多个北美、欧洲与澳大利亚的企业和关键基础设施实体。截至 2024 年 5 月,Black Basta 已影响全球超过 500 家组织。
作为 StopRansomware 计划的一部分,2024 年 5 月,美国联邦调查局(FBI)、网络安全与基础设施安全局(CISA)、卫生与公众服务部(HHS)与多州信息共享与分析中心(MS-ISAC)联合发布了一份关于 Black Basta 勒索软件活动的网络安全建议(CSA)。
Black Basta 至少针对了 12 个关键基础设施领域,包括医疗保健与公共卫生领域。该建议文件中提供了从执法机构调查与第三方安全公司的报告中获得的战术、技术与程序(TTPs)以及入侵指标(IOCs)。
2023 年 12 月,Elliptic 与 Corvus Insurance 发布的联合研究表明,该团伙自 2022 年初以来累计获得了至少价值1700 万美元的比特币赎金,并通过俄罗斯加密货币交易所 Garantex 进行洗钱。研究人员分析了区块链交易,发现 Black Basta 与 Conti 团伙之间存在明确的关联。2022 年,Conti 团伙停止了其运营,与此同时,Black Basta 团伙在威胁领域崭露头角。
据专家介绍,该勒索软件团伙已经感染了 329 多名受害者,大多数受害者来自制造业、工程与建筑业以及零售业,包括 ABB、Capita、Dish Network 和莱茵金属。61.9%的受害者位于美国,15.8%位于德国,5.9%位于加拿大。部分受害者的赎金被 Conti 和 Black Basta 团伙同时转给了 Qakbot 恶意软件的幕后团伙。
