HackerNews 编译,转载请注明出处:
超过一年的 Black Basta 勒索软件团伙的内部聊天记录被泄露,提供了前所未有的视角,揭示了他们的策略和成员之间的内部冲突。
这些俄语聊天记录在 2023 年 9 月 18 日至 2024 年 9 月 28 日期间于 Matrix 消息平台进行,于 2025 年 2 月 11 日被一位名为 ExploitWhispers 的人士泄露,该人士声称泄露数据是因为该团伙针对俄罗斯银行。泄露者的身份仍然是个谜。
Black Basta 最初在 2022 年 4 月受到关注,当时他们使用现已基本停用的 QakBot(又名 QBot)作为传播工具。根据美国政府在 2024 年 5 月发布的一份公告,这个双重勒索团伙估计已针对北美、欧洲和澳大利亚的 500 多个私营行业和关键基础设施实体。
据 Elliptic 和 Corvus Insurance 估计,到 2023 年底,这个活跃的勒索软件团伙已从 90 多个受害者那里获得了至少 1.07 亿美元的比特币赎金。
瑞士网络安全公司 PRODAFT 表示,这个以经济利益为动机的威胁行为者(也被称为 Vengeful Mantis)由于内部纷争,自今年年初以来基本处于不活跃状态,其中一些运营商通过收取赎金但不提供有效的解密工具来诈骗受害者。
更糟糕的是,与俄罗斯有关联的网络犯罪集团的关键成员据说已经跳槽到 CACTUS(又名 Nurturing Mantis)和 Akira 勒索软件行动。
“内部冲突是由‘Tramp’(LARVA-18)驱动的,他是一名已知的威胁行为者,运营一个负责传播 QBot 的垃圾邮件网络,”PRODAFT 在 X 上的一篇帖子中表示。“作为 BLACKBASTA 内的关键人物,他的行为在该团伙的不稳定中起到了重要作用。”
泄露的聊天记录包含近 200,000 条消息,其中一些关键内容如下:
- Lapa 是 Black Basta 的主要管理员之一,负责管理任务。Cortes 与 QakBot 团伙有关联,该团伙在 Black Basta 针对俄罗斯银行的攻击后试图与之划清界限。YY 是 Black Basta 的另一名管理员,负责支持任务。Trump 是“该团伙主要头目”Oleg Nefedov 的一个别名,他还使用 GG 和 AA 这两个名字。Trump 和另一名成员 Bio 曾在现已解散的 Conti 勒索软件团伙中合作。据信,Black Basta 的一名成员是一名 17 岁的未成年人。在 Scattered Spider 成功后,Black Basta 开始积极将社会工程学纳入其攻击手段。
据 Qualys 称,Black Basta 团伙利用已知漏洞、配置错误和安全控制不足来获取对目标网络的初始访问权限。讨论显示,SMB 配置错误、暴露的 RDP 服务器和弱身份验证机制经常被利用,通常依赖默认的 VPN 凭证或暴力破解被盗凭证。
缓解措施
目前,Black Basta 尚未发布这些漏洞的补丁。在此期间,使用受影响系统的组织应采取以下防御措施:
- 限制对敏感日志文件和目录的访问。对日志和备份文件应用严格的文件权限。避免记录敏感的会话相关数据。在存储前加密敏感数据。在生产环境中禁用调试模式。实施更强的身份验证和会话管理。定期对系统及其文件处理过程进行安全审计。
强烈建议使用受影响系统的组织立即采取行动,保护其关键基础设施免受潜在攻击。
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
