Se han publicado en línea más de un año de registros de chat internos de una pandilla de ransomware conocida como Black Basta en una fuga que proporciona una visibilidad sin precedentes sobre sus tácticas y conflictos internos entre sus miembros.
Los chats en idioma ruso en la plataforma de mensajería de Matrix entre el 18 de septiembre de 2023 y el 28 de septiembre de 2024 fueron filtrados inicialmente el 11 de febrero de 2025 por un individuo que realiza el mango de exploits, quien afirmó que lanzaron los datos porque los datos porque los datos Grupo estaba apuntando a los bancos rusos. La identidad del filtrador sigue siendo un misterio.
Black Basta fue por primera vez en el centro de atención en abril de 2022, utilizando el Qakbot (también conocido como QBOT) como un vehículo de entrega. Según un aviso publicado por el gobierno de EE. UU. En mayo de 2024, se estima que el equipo de doble extorsión se dirigió a más de 500 entidades de infraestructura de la industria privada y la infraestructura crítica en América del Norte, Europa y Australia.
Según el seguro elíptico y Corvus, se estima que el prolífico grupo de ransomware ha anotado al menos $ 107 millones en pagos de rescate de bitcoin de más de 90 víctimas a fines de 2023.
La compañía suiza de ciberseguridad, Dijo que el actor de amenaza de motivación financiera, también rastreado como una mantis vengativa, ha sido «en su mayoría inactiva desde el comienzo del año» debido a la lucha interna, con algunos de sus operadores que estafan a las víctimas recolectando pagos de rescate sin proporcionar un descriptores de trabajo de trabajo. .
Además, se dice que los miembros clave del sindicato de delitos cibernéticos vinculados a Rusia saltaron el barco al cactus (también conocido como Mantis Nutrituring) y las operaciones de ransomware Akira.
«El conflicto interno fue impulsado por ‘Tramp’ (Larva-18), un actor de amenaza conocido que opera una red de spamming responsable de distribuir QBOT», dijo ProDaft en una publicación sobre X. «Como una figura clave dentro de Blackbasta, sus acciones interpretadas Un papel importante en la inestabilidad del grupo «.
Algunos de los aspectos sobresalientes de la fuga, que contiene casi 200,000 mensajes, se enumeran a continuación –
- LAPA es uno de los principales administradores de Black Basta e involucrado en tareas administrativas
- Cortés está asociado con el Grupo Qakbot, que ha tratado de distanciarse a raíz de los ataques de Black Basta contra los bancos rusos
- YY es otro administrador de Black Basta que participa en tareas de apoyo
- Trump es uno de los alias para el «jefe principal del grupo», Oleg Nefedov, que se llama GG y AA
- Trump y otro individuo, bio, trabajaron juntos en el esquema de ransomware de conti ahora distraído
- Se cree que uno de los afiliados negros de Basta es menor de 17 años
- Black Basta ha comenzado a incorporar activamente la ingeniería social en sus ataques después del éxito de la araña dispersa
Según Qualys, el Grupo Black Basta aprovecha vulnerabilidades conocidas, configuraciones erróneas y controles de seguridad insuficientes para obtener acceso inicial a las redes de destino. Las discusiones muestran que las configuraciones erróneas de SMB, los servidores RDP expuestos y los mecanismos de autenticación débiles se explotan de manera rutinaria, a menudo dependiendo de las credenciales VPN predeterminadas o las credenciales robadas de forcedura de bruto.
 |
| Top 20 CVE explotados activamente por Black Basta |
Otro vector de ataque clave implica el despliegue de goteros de malware para entregar las cargas útiles maliciosas. En un intento adicional de evadir la detección, se ha encontrado que el grupo de delitos electrónicos utiliza plataformas legítimas de intercambio de archivos como Transfer.Sh, Temp.Sh y Send.vis.ee para alojar las cargas útiles.
«Los grupos de ransomware ya no se toman su tiempo una vez que violan la red de una organización», dijo Saeed Abbasi, gerente de productos de la Unidad de Investigación de Amenazas de Qualys (TRU). «Los datos filtrados recientemente de Black Basta muestran que se están moviendo del acceso inicial al compromiso de toda la red en cuestión de horas, a veces incluso minutos».
La divulgación se produce cuando el Equipo de Investigación Cyberint de Check Point reveló que el grupo de ransomware CL0P ha reanudado a las organizaciones de orientación, enumerando organizaciones que se violaron en su sitio de fuga de datos después de la explotación de una falla de seguridad recientemente divulgada (CVE-2024-50623) que impactaron el CLEO administrado por el CLEO administrado. Software de transferencia de archivos.
«CL0P se está contactando directamente con estas compañías, proporcionando enlaces de chat seguros para negociaciones y direcciones de correo electrónico para que las víctimas inicien el contacto», dijo la compañía en una actualización publicada la semana pasada. «El grupo advirtió que si las compañías continúan ignorándolas, sus nombres completos se revelarán dentro de las 48 horas».
El desarrollo también sigue a un aviso publicado por la Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) sobre una ola de exfiltración de datos y ataques de ransomware orquestados por los actores fantasmas dirigidos a organizaciones en más de 70 países, incluidos los de China.
Se ha observado que el grupo giraba sus cargas útiles ejecutables de ransomware, cambia de extensiones de archivos para archivos encriptados y modifica el texto de nota de rescate, liderando el grupo llamado por otros nombres como CRING, Crypt3r, Phantom, Strike, Hello, Wickrme, Hsharada y Rapture.
«A principios de 2021, los actores de Ghost comenzaron a atacar a las víctimas cuyos servicios de frente a Internet tenían versiones anticuadas de software y firmware», dijo la agencia. «Los actores fantasmas, ubicados en China, realizan estos ataques generalizados para la ganancia financiera. Las víctimas afectadas incluyen infraestructura crítica, escuelas y universidades, atención médica, redes gubernamentales, instituciones religiosas, empresas de tecnología y fabricación, y numerosas empresas pequeñas y medianas».
Se sabe que Ghost usa el código disponible públicamente para explotar los sistemas orientados a Internet empleando varias vulnerabilidades en Adobe Coldfusion (CVE-2009-3960, CVE-2011-2861), electrodomésticos Fortinet Fortios (CVE-2018-13379) y Microsoft Exchange Server (CVE-2021-34473, CVE-2021-34523, y CVE-2021-31207, también conocido como proxyshell).
Una explotación exitosa es seguida por la implementación de un shell web, que luego se utiliza para descargar y ejecutar el marco de ataque de cobalto. Los actores de amenaza también se han observado utilizando una amplia gama de herramientas como Mimikatz y Badpotato para la recolección de credenciales y la escalada de privilegios, respectivamente.
«Los actores de Ghost utilizaron la línea de comandos de instrumentación de gestión de acceso e instrumentación de Windows (WMIC) para ejecutar comandos de PowerShell en sistemas adicionales en la red de víctimas, a menudo con el fin de iniciar infecciones adicionales de baliza de ataque de cobalto», dijo CISA. «En los casos en que los intentos de movimiento lateral no tienen éxito, se ha observado que los actores fantasmas abandonan un ataque contra una víctima».