大规模泄密暴露了顶级勒索软件集团 Black Basta 的内部运作

快速阅读: 《技术点》消息，网络安全社区获得了一次前所未有的洞察，揭露了全球最活跃勒索软件团伙“黑巴斯塔”的内部运作。泄露的20多万条消息显示了该组织的战术、目标和内部冲突，包括通过钓鱼邮件和恶意链接发动攻击，以及采用双重勒索策略。此次泄露有助于安全研究人员更好地理解并对抗这个危险的网络犯罪集团。

网络安全社区刚刚获得了对全球最活跃勒索软件团伙的前所未有的洞察。随着研究人员深入研究此次泄露提供的大量信息，关于“黑巴斯塔”战术、目标和内部动态的新发现可能会浮出水面。在一次史无前例的泄露事件中，臭名昭著的勒索软件组织“黑巴斯塔”的内部通信记录被泄露至网络，这些记录涵盖了从2023年9月至2024年9月的信息，揭示了当今最活跃且危险的网络犯罪集团的内部运作、策略及内部冲突。此次泄露包含超过20万条由“黑巴斯塔”成员在矩阵聊天平台上交换的消息。泄露源尚不清楚——最初由名为“ExploitWhispers”的用户发布在MEGA上，随后又发布在Telegram上——但该责任人声称此举是对“黑巴斯塔”攻击俄罗斯银行的报复行为。目前尚不清楚泄密者是内部人员还是成功获取这些机密通讯的外部人士。“黑巴斯塔”作为全球网络安全重大威胁的声誉早已确立。2023年，联邦调查局和网络安全与基础设施安全局报告称，该组织已针对美国16个关键基础设施部门中的12个进行了攻击，影响了全球500家组织。其高调受害者包括美国主要医疗保健提供商阿斯克申、欧洲现代汽车公司、英国外包公司卡皮塔、智利政府海关署以及英国公用事业公司南方水务。泄露的通信记录揭示了该组织内部的重大紧张局势，尤其是在一名领导被捕后。这一事件加剧了成员们对可能被执法机构曝光的担忧。现任领导人据信为奥列格·内费多夫，因做出将组织置于更大风险中的决定而受到下属批评，其中包括攻击一家俄罗斯银行。

研究人员发现了“黑巴斯塔”其他关键成员的详细信息，包括两位管理员拉帕和YY，以及与Qakbot勒索软件组织有关联的威胁行为者科特斯。泄露的通信记录也证实了许多网络安全研究人员已经发现或推测出的关于该组织的情况。该组织通常通过含有恶意链接的钓鱼邮件发起攻击，经常使用密码保护的ZIP文件，当打开时会安装Qakbot银行木马。此木马建立后门，并部署SystemBC以创建到命令控制服务器的加密连接。一旦进入网络，“黑巴斯塔”使用Cobalt Strike进行侦察并部署额外工具。该组织还利用合法的远程访问软件保持持久性，同时禁用防病毒和端点检测系统。对于数据窃取和外泄，他们依赖Mimikatz和Rclone等工具。勒索软件部署阶段涉及使用“.basta”扩展名加密文件，作为双重勒索策略的一部分。有趣的是，“黑巴斯塔”不会立即提出赎金要求，而是给受害者10-12天的时间来联系他们，之后才可能泄露被盗数据。“黑巴斯塔”还采用了社会工程学技巧，包括打电话与公司员工建立初步联系，类似其他网络犯罪集团如散落蜘蛛所使用的方法。“黑巴斯塔”的目标选择过程是系统性的，维护着潜在受害者的电子表格，而不是随机选择目标。他们利用ZoomInfo等商业情报平台进行研究并选定目标，展示了其运营的精心规划。利用这些丰富的信息资源，安全公司哈德森·洛克将聊天记录输入了ChatGPT。结果是“黑巴斯塔GPT”，一个新的资源，帮助研究人员更有效地分析“黑巴斯塔”的运营情况。

(以上内容均由Ai生成)