近日,一個名為 ExploitWhispers 的匿名者泄露了 Black Basta 勒索軟件團伙的 Matrix 聊天記錄,揭示了該團伙的內部分裂情況以及成員信息、黑客工具。該聊天記錄一開始被上傳至 MEGA 平臺,隨后又被轉至 Telegram。
內部分裂:Black Basta 聊天記錄泄露揭示成員信息與黑客工具
2025 年 2 月 11 日,一次重大泄露事件曝光了 Black Basta 的內部 Matrix 聊天記錄。泄露者聲稱,他們之所以發布這些數據,是因為該團伙正在瞄準俄羅斯銀行。這一泄露與之前的 Conti 泄露事件極為相似。
泄露的檔案涵蓋了 2023 年 9 月 18 日至 2024 年 9 月 28 日期間的內部聊天記錄。PRODAFT 研究員報告指出,自 2025 年起,由于內部沖突、勒索詐騙以及勒索軟件失效,Black Basta 已經基本處于停擺狀態。關鍵成員相繼跳槽至其他團伙。
今年年初,關鍵成員紛紛離開 Black Basta ,加入了 Cactus勒索軟件或其他網絡犯罪團伙。內部沖突由“Tramp”(LARVA-18)引發,這位知名的威脅行為者運營著一個負責分發 QBOT 的垃圾郵件網絡。作為Black Basta 中的關鍵人物,他的行動在很大程度上導致了該團伙的不穩定。
運營內幕與黑客工具
泄露的 Black Basta 聊天記錄揭示了該團伙的運營模式、策略及所使用的工具。研究人員發現,他們優先利用 VPN 漏洞,并維護著一份共享的受害者名單。其中一名成員被確認為是個年僅 17 歲的少年。聊天記錄表明,該團伙的工作環境充滿了高壓。
VX-underground 的研究人員分析了泄露的 Black Basta 聊天記錄,并報告稱這些記錄揭示了他們的運營細節,包括對 LockBit 的懷疑、對 Dispossessor 勒索軟件招聘的擔憂,以及對 VPN 漏洞的興趣。他們利用社交工程技術,優先針對電氣和金融等行業的公司。
該團伙的工作流程包括誘騙受害者執行惡意文件,這些文件會連接到命令控制(C2)服務器,從而實現勒索軟件的部署或遠程訪問。他們還被提供了一種月租 8.4 萬美元的私有加載器。
泄露的 Black Basta 聊天記錄顯示,成員們語氣直接且嚴厲,經常嘲笑失敗并強調截止日期。他們的工作流程依賴于社交工程技術,通過投遞惡意 HTA 文件連接到服務器以部署有效載荷。受害者通常有 10 到 12 天的時間支付贖金,否則被盜數據將被公開。
研究員 Suyesh Prabhugaonkar 識別出了該團伙使用的 367 個獨特的 Zoom 鏈接、域名與 IP 地址。該團伙通過弱口令、未修復的漏洞以及社會工程手段獲得初始訪問權限。他們會輪換基礎設施以避免被發現,并測試有效載荷。據 Prodaft 透露,關鍵人物 GG(Trump)很可能是領導者 Oleg Nefedov,他負責分配任務、跟蹤績效并施加截止日期壓力。
勒索攻擊頻發與受害者分布
Black Basta 是一款勒索軟件即服務(RaaS),自 2022 年 4 月起開始活躍,曾影響過多個北美、歐洲與澳大利亞的企業和關鍵基礎設施實體。截至 2024 年 5 月,Black Basta 已影響全球超過 500 家組織。
作為 StopRansomware 計劃的一部分,2024 年 5 月,美國聯邦調查局(FBI)、網絡安全與基礎設施安全局(CISA)、衛生與公眾服務部(HHS)與多州信息共享與分析中心(MS-ISAC)聯合發布了一份關于 Black Basta 勒索軟件活動的網絡安全建議(CSA)。
Black Basta 至少針對了 12 個關鍵基礎設施領域,包括醫療保健與公共衛生領域。該建議文件中提供了從執法機構調查與第三方安全公司的報告中獲得的戰術、技術與程序(TTPs)以及入侵指標(IOCs)。
2023 年 12 月,Elliptic 與 Corvus Insurance 發布的聯合研究表明,該團伙自 2022 年初以來累計獲得了至少價值1700 萬美元的比特幣贖金,并通過俄羅斯加密貨幣交易所 Garantex 進行洗錢。研究人員分析了區塊鏈交易,發現 Black Basta 與 Conti 團伙之間存在明確的關聯。2022 年,Conti 團伙停止了其運營,與此同時,Black Basta 團伙在威脅領域嶄露頭角。
據專家介紹,該勒索軟件團伙已經感染了 329 多名受害者,大多數受害者來自制造業、工程與建筑業以及零售業,包括 ABB、Capita、Dish Network 和萊茵金屬。61.9%的受害者位于美國,15.8%位于德國,5.9%位于加拿大。部分受害者的贖金被 Conti 和 Black Basta 團伙同時轉給了 Qakbot 惡意軟件的幕后團伙。
