Эксперты по киберпреступности сообщили изданию CyberScoop, что внутренние логи чатов Black Basta, которые были опубликованы в начале этого месяца, предоставляют правозащитникам ценную информацию об операциях группировки, занимающейся вымогательством.
Исследователи, проанализировавшие раскрытые сообщения Black Basta, обнаружили сведения об инструментах и методах, которые предпочитает группа, включая специальные загрузчики вредоносных программ, индикаторы компрометации, криптовалютные кошельки и адреса электронной почты, связанные с филиалами синдиката.
Несколько экспертов по киберпреступности сравнили значимость утечки с крупным раскрытием внутренних сообщений группы вымогателей Conti в 2022 году. Black Basta, появившаяся примерно в то же время в том же году, является ответвлением Conti.
«Мы постоянно видим утечки информации о небольших группах, но по объему разведданных, которые мы собираемся собрать, ничто, кроме Конти, не сравнится с этим», — рассказал CyberScoop Аллан Лиска, аналитик по угрозам в Recorded Future.
Исследователи по анализу угроз загрузили утекшие сообщения Black Basta в платформы искусственного интеллекта для быстрого анализа данных и предоставления их для целей поиска. Томас Рочча, старший исследователь безопасности Microsoft, независимо изучая данные, обнаружил почти 200 000 сообщений на русском языке за год, закончившийся в сентябре 2024 года.
Рочча извлекла потенциальные индикаторы компрометации , включая IP-адреса, домены, учётные данные и имена файлов, упомянутые в чатах партнёров Black Basta. Другие исследователи собрали информацию о том, как группа получила первоначальный доступ к средам жертв и избежала обнаружения.
«Защитники могут изучить тактику, методы и процедуры злоумышленников в сопоставлении с их моделями угроз», — написал в электронном письме Халит Альптекин, директор по разведке Prodaft. «Это также даёт им возможность получить представление о деятельности киберпреступников с точки зрения злоумышленника».
Альптекин заявил, что наиболее ценная разведывательная информация, скорее всего, содержится в индикаторах взлома, обнаруженных в журналах чатов, однако большая часть этой инфраструктуры быстро устареет, поскольку филиалы Black Basta отключат системы.
«С точки зрения анализа угроз и правоохранительных органов подобные утечки невероятно ценны. Они дают представление об услугах, используемых группировкой, её тактике, методах и процедурах, внутренних связях между субъектами угроз, рабочих процессах и методах коммуникации», — сказал Альптекин. «Такого рода разведданные имеют решающее значение для разрушения сетей киберпреступников и понимания их меняющихся стратегий».
Внутреннее устройство Black Basta раскрывает киберпреступную группировку, раздираемую внутренними конфликтами. Тем не менее, дочерние организации этой печально известной группировки, предлагающей программы-вымогатели как услугу, сеют хаос в организациях по всему миру.
По данным Агентства по кибербезопасности и безопасности инфраструктуры , в течение двух лет этот вариант вируса-вымогателя использовался для шифрования и кражи данных по меньшей мере из 12 из 16 критически важных секторов инфраструктуры, затронув более 500 организаций .
По данным исследования Elliptic и Corvus Insurance, к концу 2023 года группировка получила не менее 107 миллионов долларов в виде выкупов .
По словам Альптекина, утечка данных о Black Basta последовала за спадом активности в начале этого года, вызванным переходом ключевых участников в другие киберпреступные группировки, например, в группу вымогателей Cactus. «Это разоблачение ещё больше дестабилизировало группировку и подорвало доверие среди её участников», — сказал он.
Rapid7 зафиксировал всплеск атак с использованием социальной инженерии, связанных с операторами Black Basta, в начале октября, однако в этом году группировка была в основном неактивна.
По словам Женевьевы Старк, руководителя отдела анализа киберпреступности в Google Threat Intelligence Group, разведданные, полученные из ранее опубликованных чатов других группировок, занимающихся распространением вирусов-вымогателей, в том числе связанных с операциями Conti, раскрыли информацию об инфраструктуре, командах и незаконных услугах, используемых в их операциях.
«Защитники могут затем использовать эту информацию для определения приоритетов в своих усилиях по обнаружению и преследованию», — написала Старк в электронном письме. Сообщения также могут помочь исследователям в атрибуции, раскрывая артефакты транзакций, иерархию организации, связи между киберпреступниками и роли, которые они выполняют, добавила она.
Утечка чата Conti «раскрыла, кто разработал конкретные семейства вредоносных программ, местоположение некоторых субъектов угрозы, а также информацию, указывающую на то, что данная подгруппа активности не имела финансовой мотивации и вместо этого могла отражать возможную связь с российским разведывательным аппаратом», — сказал Старк.
Кроме того, внутренняя переписка Black Basta отражает склонность киберпреступников делиться информацией и хвастаться ею перед сообщниками.
«Если у группировок, занимающихся вирусами-вымогателями, и есть что-то особенное, так это то, что они очень болтливы, — сказала Лиска. — Несмотря на то, что они — настоящие мастера своего дела, они не очень-то умеют держать язык за зубами».
Исследователи, проанализировавшие раскрытые сообщения Black Basta, обнаружили сведения об инструментах и методах, которые предпочитает группа, включая специальные загрузчики вредоносных программ, индикаторы компрометации, криптовалютные кошельки и адреса электронной почты, связанные с филиалами синдиката.
Несколько экспертов по киберпреступности сравнили значимость утечки с крупным раскрытием внутренних сообщений группы вымогателей Conti в 2022 году. Black Basta, появившаяся примерно в то же время в том же году, является ответвлением Conti.
«Мы постоянно видим утечки информации о небольших группах, но по объему разведданных, которые мы собираемся собрать, ничто, кроме Конти, не сравнится с этим», — рассказал CyberScoop Аллан Лиска, аналитик по угрозам в Recorded Future.
Исследователи по анализу угроз загрузили утекшие сообщения Black Basta в платформы искусственного интеллекта для быстрого анализа данных и предоставления их для целей поиска. Томас Рочча, старший исследователь безопасности Microsoft, независимо изучая данные, обнаружил почти 200 000 сообщений на русском языке за год, закончившийся в сентябре 2024 года.
Рочча извлекла потенциальные индикаторы компрометации , включая IP-адреса, домены, учётные данные и имена файлов, упомянутые в чатах партнёров Black Basta. Другие исследователи собрали информацию о том, как группа получила первоначальный доступ к средам жертв и избежала обнаружения.
«Защитники могут изучить тактику, методы и процедуры злоумышленников в сопоставлении с их моделями угроз», — написал в электронном письме Халит Альптекин, директор по разведке Prodaft. «Это также даёт им возможность получить представление о деятельности киберпреступников с точки зрения злоумышленника».
Альптекин заявил, что наиболее ценная разведывательная информация, скорее всего, содержится в индикаторах взлома, обнаруженных в журналах чатов, однако большая часть этой инфраструктуры быстро устареет, поскольку филиалы Black Basta отключат системы.
«С точки зрения анализа угроз и правоохранительных органов подобные утечки невероятно ценны. Они дают представление об услугах, используемых группировкой, её тактике, методах и процедурах, внутренних связях между субъектами угроз, рабочих процессах и методах коммуникации», — сказал Альптекин. «Такого рода разведданные имеют решающее значение для разрушения сетей киберпреступников и понимания их меняющихся стратегий».
Внутреннее устройство Black Basta раскрывает киберпреступную группировку, раздираемую внутренними конфликтами. Тем не менее, дочерние организации этой печально известной группировки, предлагающей программы-вымогатели как услугу, сеют хаос в организациях по всему миру.
По данным Агентства по кибербезопасности и безопасности инфраструктуры , в течение двух лет этот вариант вируса-вымогателя использовался для шифрования и кражи данных по меньшей мере из 12 из 16 критически важных секторов инфраструктуры, затронув более 500 организаций .
По данным исследования Elliptic и Corvus Insurance, к концу 2023 года группировка получила не менее 107 миллионов долларов в виде выкупов .
По словам Альптекина, утечка данных о Black Basta последовала за спадом активности в начале этого года, вызванным переходом ключевых участников в другие киберпреступные группировки, например, в группу вымогателей Cactus. «Это разоблачение ещё больше дестабилизировало группировку и подорвало доверие среди её участников», — сказал он.
Rapid7 зафиксировал всплеск атак с использованием социальной инженерии, связанных с операторами Black Basta, в начале октября, однако в этом году группировка была в основном неактивна.
По словам Женевьевы Старк, руководителя отдела анализа киберпреступности в Google Threat Intelligence Group, разведданные, полученные из ранее опубликованных чатов других группировок, занимающихся распространением вирусов-вымогателей, в том числе связанных с операциями Conti, раскрыли информацию об инфраструктуре, командах и незаконных услугах, используемых в их операциях.
«Защитники могут затем использовать эту информацию для определения приоритетов в своих усилиях по обнаружению и преследованию», — написала Старк в электронном письме. Сообщения также могут помочь исследователям в атрибуции, раскрывая артефакты транзакций, иерархию организации, связи между киберпреступниками и роли, которые они выполняют, добавила она.
Утечка чата Conti «раскрыла, кто разработал конкретные семейства вредоносных программ, местоположение некоторых субъектов угрозы, а также информацию, указывающую на то, что данная подгруппа активности не имела финансовой мотивации и вместо этого могла отражать возможную связь с российским разведывательным аппаратом», — сказал Старк.
Кроме того, внутренняя переписка Black Basta отражает склонность киберпреступников делиться информацией и хвастаться ею перед сообщниками.
«Если у группировок, занимающихся вирусами-вымогателями, и есть что-то особенное, так это то, что они очень болтливы, — сказала Лиска. — Несмотря на то, что они — настоящие мастера своего дела, они не очень-то умеют держать язык за зубами».
