Утечка данных Black Basta: Методы, уязвимости и хроника преступлений

Недавняя утечка логов чатов группы вымогателей Black Basta раскрыла подробности их оперативной деятельности за период с 18 сентября 2023 года по 28 сентября 2024 года. Документ освещает не только использованные ими методы атак, но и инфраструктуру, на которой основаны их действия, а также выявленные уязвимости.
Финансовые уловки и целевые принципы
Согласно утечке, Black Basta использовала по меньшей мере 47 криптовалютных кошельков, накопив в результате незаконных транзакций около 38 миллионов долларов. Группа применяла аналитические инструменты с открытым исходным кодом, такие как ZoomInfo, для анализа доходности потенциальных жертв, что позволяло ей устанавливать требования о выкупе, основываясь на предполагаемых доходах целевых организаций.
Методы атак и социальная инженерия
Оперативная методология Black Basta включает в себя разные способы получения доступа:
- Использование ChatGPT и внутренних скриптов для социальной инженерии;
- “Бомбардировка электронной почты” — заполняя почтовый ящик цели тысячами электронных писем;
- Выдача себя за ИТ-сотрудников, предлагая жертвам загрузить AnyDesk, что обеспечивает постоянный доступ.
Данные методы показывают, как группа адаптировала тактики социальной инженерии, используя человеческое поведение и распространенные инструменты удаленного администрирования для достижения своих целей.
Уязвимости и обсуждаемые эксплойты
Журналы зафиксировали регулярные обсуждения общедоступных эксплойтов для проверки концепции (PoC). Группа концентрировалась на уязвимостях, которые обеспечивают первоначальный доступ и возможность удаленного выполнения кода. Среди наиболее обсуждаемых уязвимостей:
- CVE-2024-3400 в Palo Alto Networks GlobalProtect;
- CVE-2022-27925, связанная с пакетом Zimbra для совместной работы.
Приверженность к существующим решениям
Black Basta явно предпочитала использовать существующие PoC, полагаясь на публично раскрытые уязвимости, вместо разработки уникальных методов эксплуатации. Примечательно, что во время обсуждений группа обращала внимание на уязвимости, связанные с продуктами Microsoft в значительной степени.
Обеспечение скрытности и сохранение в безопасности
В своих сообщениях группа выражала обеспокоенность по поводу обнаружения с помощью различных мер безопасности. Это свидетельствует о их активных попытках обойти системы защиты, используя инструменты анализа вредоносных программ, такие как VirusTotal и гибридный анализ. Кроме того, они продемонстрировали значительную зависимость от загрузчика вредоносных программ DarkGate, обмениваясь информацией о сборках и стратегиях избегания обнаружения.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



