El tesoro recientemente filtrado de registros de chat internos entre los miembros de la operación de ransomware negro Basta ha revelado posibles conexiones entre la pandilla de delitos electrónicos y las autoridades rusas.
La filtración, que contiene más de 200,000 mensajes desde septiembre de 2023 hasta septiembre de 2024, fue publicada por un usuario de Telegram @exploitwhispers el mes pasado.
Según un análisis de los mensajes de la compañía de ciberseguridad Trellix, el presunto líder de Black Basta, Oleg Nefedov (también conocido como GG o AA), puede haber recibido ayuda de funcionarios rusos después de su arresto en Ereván, Armenia, en junio de 2024, permitiéndole escapar tres días después.
En los mensajes, GG afirmó que contactó a los funcionarios de alto rango para pasar por un «corredor verde» y facilitar la extracción.
«Este conocimiento de las filtraciones de chat dificulta que la pandilla Black Basta abandone por completo la forma en que operan y comienzan un nuevo RAAS desde cero sin referencia a sus actividades anteriores», dijeron los investigadores de Trellix Jambul Tologonov y John Fokker.
Entre otros hallazgos notables incluyen –
- El grupo probablemente tiene dos oficinas en Moscú
- El grupo utiliza OpenAI Chatgpt para componer letras formales fraudulentas en inglés, parafraseando texto, reescribir malware basado en C#en Python, código de depuración y recopilar datos de víctimas
- Algunos miembros del grupo se superponen con otras operaciones de ransomware como Rhysida y Cactus
- El desarrollador de Pikabot es un ciudadano ucraniano que realiza el Mecor de alias en línea (también conocido como N3auxaxl) y que le tomó a Black Basta al año desarrollar el cargador de malware después de la interrupción de Qakbot
- El grupo alquiló Darkgate de Rastafareye y usó Lumma Stealer para robar credenciales y soltar malware adicional
- El grupo desarrolló un marco de comando y control posterior a la explotación (C2) llamado Breaker para establecer la persistencia, evadir la detección y mantener el acceso a través de los sistemas de red
- GG trabajó con Mecor en nuevo ransomware que se deriva del código fuente de Conti, lo que lleva a la versión de un prototipo escrito en C, lo que indica un posible esfuerzo de cambio de marca
El desarrollo se produce cuando Eclecticiq reveló el trabajo de Black Basta en un marco de forzamiento bruto denominado que está diseñado para realizar un escaneo automatizado en Internet y un relleno de credenciales contra dispositivos de red Edge, incluidas las soluciones de firewalls y VPN ampliamente utilizados en redes corporativas.
Hay evidencia que sugiere que la tripulación del delito cibernético ha estado utilizando la plataforma basada en PHP desde 2023 para realizar ataques a gran escala de credenciales y fuerza bruta en dispositivos objetivo, lo que permite a los actores de amenaza obtener visibilidad en las redes de víctimas.
«El marco de brutos permite a los afiliados de Black Basta automatizar y escalar estos ataques, expandiendo su grupo de víctimas y acelerando la monetización para impulsar las operaciones de ransomware», dijo la investigadora de seguridad Arda Büyükkaya.
«Las comunicaciones internas revelan que Black Basta ha invertido en gran medida en el marco de bruido, lo que permite escaneos rápidos de Internet para electrodomésticos de red de borde y relleno de credenciales a gran escala para dirigirse a contraseñas débiles».