Um tesouro de toras de bate-papo supostamente pertencente ao grupo preto de ransomware Basta vazou on-line, expondo membros-chave da prolífica gangue vinculada à Rússia.
Os Chatlogs, que incluem mais de 200.000 mensagens que abrangem de 18 de setembro de 2023 a 28 de setembro de 2024, foram compartilhados com a empresa de inteligência de ameaças Prodaft por um vazador. A empresa de segurança cibernética diz que o vazamento ocorre em meio a “conflitos internos” dentro do Black Basta Group depois que alguns membros supostamente falharam em fornecer às suas vítimas ferramentas de descriptografia funcionais, apesar de pagar uma demanda de resgate.
Ainda não se sabe se o vazador, que usa o pseudônimo de “exploraçãowhispers” no telegrama, era membro da gangue Black Basta.
Black Basta é uma prolífica gangue de ransomware em língua russa, à qual o governo dos EUA se vinculou Centenas de ataques a infraestrutura crítica e empresas globaiscujas vítimas conhecidas publicamente incluem Ascensão da Organização de Saúde dos EUAAssim, Companhia de utilitário do Reino Unido Southern Watere Gigante de terceirização britânica Capita. Os logs de bate-papo vazados dão uma aparência nunca visto na gangue Ransomware, incluindo alguns de seus alvos não relatados.
De acordo com para um post no X por Prodafto vazador disse que os hackers “cruzaram a linha”, visando os bancos domésticos russos.
“Então, nos dedicamos a descobrir a verdade e investigar os próximos passos de Black Basta”, escreveu o vazador.
Vítimas direcionadas, façanhas e um hacker adolescente
O TechCrunch obteve uma cópia dos logs de bate -papo dos hackers do Prodaft, que contêm detalhes sobre os principais membros da gangue Ransomware.
Esses membros incluem “yy” (administrador principal de Black Basta); “Lapa” (outro dos principais líderes de Black Basta); “Cortes” (um hacker ligado à botnet Qakbot); e “Trump” (também conhecido como “AA” e “GG”).
Acredita -se que o hacker “Trump” seja um pseudônimo usado por Oleg Nefedovaka, que produz pesquisadores descrever como “o chefe principal do grupo”. Os pesquisadores vincularam Nefedovaka ao agora extinto conti Ransomware Group, que fecharam logo após seus logs de bate -papo vazados vazaram Após a gangue, declarando seu apoio à invasão em grande escala da Rússia na Ucrânia em 2022.
Os logs de bate -papo de Basta Black vazados também citar um membro Dizer que têm 17 anos, o TechCrunch viu.
Por nossa contagem, os bate -papos vazados contêm 380 links exclusivos relacionados às informações da empresa hospedadas no Zoominfo, um corretor de dados que coleta e vende acesso a empresas e seus funcionários, que os chatlogs mostram que os hackers usavam para pesquisar as empresas que direcionaram. Os links também dão alguma indicação do número de organizações direcionadas pela gangue durante o período de 12 meses.
Os registros de bate -papo também revelam informações sem precedentes sobre as operações do grupo. As mensagens incluem detalhes sobre as vítimas de Black Basta, cópias de modelos de phishing usados em seus ataques cibernéticos, algumas das façanhas usadas pela gangue, endereços de criptomoeda associados a pagamentos de resgate e detalhes sobre demandas de resgate e negociações das vítimas com organizações hackeadas.
Também encontramos logs de bate -papo dos hackers discutindo um artigo do TechCrunch sobre a atividade de Qakbot em andamento, Apesar de uma operação anterior de remoção do FBI destinada a nocautear a notória botnet offline.
O TechCrunch também encontrou logs de bate -papo que nomearam várias organizações direcionadas anteriormente desconhecidas. Isso inclui o falhou a gigante automotiva dos EUA Fisker; O fornecedor da HealthTech Cerner Corp, que agora é de propriedade da Oracle; e empresa de viagens do Reino Unido HotelPlan. Ainda não se sabe se as empresas foram violadas e nenhuma das empresas respondeu às perguntas da TechCrunch.
Os registros de bate -papo parecem mostrar os esforços da gangue em Explorando bugs de segurança em dispositivos de rede corporativacomo roteadores e firewalls que ficam no perímetro da rede de uma empresa e atuam como porteiros digitais.
Os hackers ostentavam sua capacidade de explorar vulnerabilidades nos produtos de acesso remoto da Citrix para invadir pelo menos duas redes de empresas. A gangue também falou sobre explorar vulnerabilidades em Ivanti, Palo Alto Networks e Fortinet Software para realizar ataques cibernéticos.
Uma conversa entre membros negros de Basta também sugere que parte do grupo estava preocupada em ser investigado pelas autoridades russas em resposta às pressões geopolíticas. Embora a Rússia seja um refúgio seguro para gangues de ransomware, Black Basta também estava preocupado com as ações apresentadas pelo governo dos EUA.
As mensagens enviadas após a violação do grupo dos sistemas da Ascension alertaram que o FBI e o CISA são “100% obrigados” a se envolver e podem levar as agências “a tomar uma postura difícil sobre a Basta Negra”.
O site da Black Basta Web Leak, que ele usa para extorquir publicamente as vítimas a pagar à gangue uma demanda de resgate, estava offline no momento da publicação.
